世界の時事問題ニュースに便乗するソーシャルエンジニアリングの手法は、サイバー犯罪者の常とう手段となっているのは周知の事実でしょう。トレンドマイクロでは、2012年4月17日、注目する時事問題が悪用された事例を確認しました。この攻撃の結果、最終的にバックドア型不正プログラムに感染することとなります。

今月13日、北朝鮮による長距離弾道ミサイルの打ち上げ失敗のニュースが世界を駆け巡りました。もちろんサイバー犯罪者もこの機会を見逃さず、このニュースに便乗して攻撃を仕掛けました。

トレンドマイクロでは、”North Korea satellite launch eclipses that of Iran.doc” という、メールに添付されたWordファイルを確認。トレンドマイクロの製品では「TROJ_ARTIEF.DOC」として検出されます。この不正なファイルが実行されると、脆弱性「CVE-2010-3333」を利用して、侵入した PC 上にバックドア型不正プログラム「BKDR_POISON.DOC」を作成します。CVE-2010-3333 は、「リッチテキスト形式（RTF）のスタックバッファオーバーフロー」の脆弱性として知られています。

「TrendLabs（トレンドラボ）」の解析の結果、この問題のバックドア型不正プログラムが特有の不正活動を実行することを確認しています。「BKDR_POISON.DOC」は、TCPポート 443 を経由してコマンド＆コントロール（C&C）サーバと通信します。「BKDR_POISON.DOC」は、不正リモートユーザからコマンドを受信し、スクリーンやWebカメラの画像、また、音声ファイルの取得といった複数のコマンドを実行します。これによりこのバックドア型不正プログラムを操作する不正リモートユーザは、侵入した PC上でのユーザ活動を監視することができるのです。

今回の攻撃もまた、過去に報告した事例のように、重要な内容が記載されているように装ったファイルを添付したメールが利用されています。この添付ファイルの正体は、脆弱性を利用する不正プログラムです。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連する不正なファイルを検出および削除します。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、フィルタ（1004498：Word RTF File Parsing Stack Buffer Overflow Vulnerability）を適用することにより、脆弱性「CVE-2010-3333」を利用した攻撃からコンピュータを守ることができます。

※協力執筆者：Nart Villeneuve（Senior Threat Researcher）

参考記事：

　翻訳：船越 麻衣子（Core Technology Marketing, TrendLabs）