ジャストシステム社は、2014年1月28日、同社製日本語表計算ソフト「三四郎」に関連する脆弱性の情報を公表しています。トレンドマイクロでは、この三四郎の脆弱性を利用する攻撃ファイル(エクスプロイト)を入手し分析を行った結果、ゼロデイの脆弱性であったことを確認しました。トレンドマイクロでは、これらの攻撃に使われるファイルを「TROJ_MDROP.TDB」、「TROJ_DROPPER.TDB」などの名称で検出対応しています。
今回公表された脆弱性の利用により、ファイルを開いた際に任意のコードを実行することが可能になります。確認されている攻撃ファイルの解析によれば、遠隔操作ツール(RAT)の 1種である「PLUGX」に分類される不正プログラムが PCにドロップされることがわかっています。つまり、攻撃者は三四郎のゼロデイ脆弱性を利用して標的の環境に RAT を侵入させ、外部からの遠隔操作を可能にすることが狙いだったものと考えられます。不正プログラムがアクセスする不正サーバには、アメリカ国内のホスティング業者が管理するサーバが使われていたことも確認されています。
脆弱性の影響範囲は、2010年2月5日に発売された最新のバージョンである「三四郎2010」をはじめ、それ以前のバージョンのほとんどと公表されています。最新のバージョンである「三四郎2010」であっても発売からほぼ 4年が経過し、単独での店頭販売を終了した製品となっています。この状況下における「三四郎」の脆弱性を利用する攻撃は、広範囲のユーザに向けた攻撃ではなく、対象ユーザが「三四郎」を利用していることを確認した上での標的型サイバー攻撃であるものと推測されます。ドロップされる不正プログラムが標的型サイバー攻撃での使用が多く確認されている「PLUGX」であることも、この推測の裏付けとなるものと言えます。
この「三四郎」へのゼロデイ攻撃から、我々が考えるべきことはなんでしょうか? まず、昨年後半に確認された日本へのゼロデイ脆弱性を利用した攻撃の流れは、2014年も続いているということです。2013年1年間で、日本のユーザを狙った攻撃を発端にゼロデイ脆弱性が確認された事例が 6件もありました。うち 4件は 9月以降に発覚しています。これは、日本国内のユーザも標的型サイバー攻撃の標的であり、これまで以上にこのようなサイバー攻撃への対策を行う必要があることを改めて示しているものと言えます。この流れの中で対策上考えるべきことは、攻撃の標的に選ばれにくい対策、つまり攻撃が容易でないと攻撃者に思わせる対策です。
次に、標的型サイバー攻撃において攻撃者は攻撃対象が利用しているソフトを把握した上で脆弱性を狙ってくる、ということです。一般的な広範囲への攻撃では、Java や Adobe製品など、広くインターネット上での利用が多いソフトウェアの脆弱性が狙われており、それらの製品のアップデートが注意喚起されています。しかし、標的型攻撃では攻撃対象が利用しているソフトウェアであればどのようなものでも攻撃対象となりえます。会社や組織内での対策を考える上では、自組織で使用しているソフトウェアを把握し、アップデートの管理を行うことが重要です。また、2013年に発生した Java 6 や Window XP といったソフトウェア、OS を狙った攻撃にもあるように、古いソフトウェアやメジャーバージョンアップが止まっているようなソフトウェアへの攻撃の傾向も顕著になってきており、同様に注意すべきポイントと言えます。古いソフトウェアを利用し続けることはそれだけでセキュリティリスクとなる時代となりました。
最後に、このような標的型攻撃で使用されたゼロデイ脆弱性は修正までの時間が長く、アップデートの公開まで脆弱性の影響を緩和する対策が必須ということです。前述の 2013年に確認された 6件の日本を狙ったゼロデイ攻撃においては、攻撃の発生から修正プログラムの公開までに平均1か月が経過しています。当初は限られた対象のみの標的型攻撃であったとしても、そこで使用された攻撃方法が効果の高いものであれば、徐々に多くの攻撃で利用されるようになります。修正プログラム適用までの期間、ゼロデイ攻撃の影響を防ぐ代替策の導入を検討しておく必要があるでしょう。
■トレンドマイクロの対策:
本稿で紹介した脆弱性攻撃ファイルおよび不正プログラムは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能の 1つである「ファイルレピュテーション」技術により、「TROJ_MDROP.TDB」、「TROJ_DROPPER.TDB」などの名称で検出対応を行っております。同時に不正プログラムがアクセスする不正サイトを「Webレピュテーション」技術によりブロックすることにより脅威の連鎖を断ち切り、さらなる脅威の踏み台や遠隔操作による情報の漏洩といった実質的な被害の発生からユーザを守ります。
またゼロデイ脆弱性修正の長期化に対しては、トレンドマイクロのサーバ向け総合セキュリティ対策製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」およびクライアント向け「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」の脆弱性対策機能を使用することにより、修正プログラムの適用までネットワーク経由での脆弱性攻撃からの保護が可能です。
※執筆協力者:新井 悠 および 玉田 清貴
【更新情報】
| 2014/02/12 | 16:30 | 文章の一部を修正しました。 |