10月16日の実証コード「EXPL_PIDIEF.A」の流通から端を発している「EXPL_PIDIEF」ファミリの攻撃。Trend Micro Security Blogにおいても、3度に渡り(* 注釈1)その脅威を報告しています。
その後も「EXPL_PIDIEF.B」、「EXPL_PIDIEF.C」、「EXPL_PIDIEF.D」と亜種を増し、日本国内においてもウイルス添付メールとして拡散するまでに至りました。
メールにウイルスを直接添付して拡散させる手法は、収束に向かっている拡散手法とされていました。
ただし、例外事項としてPDFファイルはウイルス添付メールに悪用されうるファイルタイプとして潜在性が推定されており、危険性が懸念されていました。
2007年8月27日付けウイルスニュース(* 注釈2)での解説にあるとおり、PDFファイルが現在の業務に占める割合を考慮すると、簡単にブロックすることのできない背景が潜在性の推定要因でした。
今回の「EXPL_PIDIEF」ファミリによる攻撃事例は潜在性を立証する事例となりました。
今後、どのようなアプリケーション、脆弱性がウイルスによる危険にさらされる可能性があるのでしょうか。
下記は2007年1月から10月において、オペレーティングシステムを除くアプリケーションの脆弱性を悪用したウイルスについてリストしたものです。
| ウイルス発見日 | ウイルス名 | アプリケーション名 | CVE | CVSS |
| 2007/1/26 | TROJ_MDROPPER.EQ |
Microsoft Word | CVE-2007-0515 | 9.3 |
| 2007/2/3 | TROJ_MDROPPER.FB |
Microsoft Word | CVE-2007-0515 | 9.3 |
| 2007/2/3 | TROJ_MDROPPER.FC |
Microsoft Excel | CVE-2007-0671 | 9.3 |
| 2007/2/15 | TROJ_MDROPPER.MY |
Microsoft PowerPoint | CVE-2007-0671 | 9.3 |
| 2007/8/3 | TROJ_TARODROP.Q |
ジャストシステム 一太郎 | CVE-2007-4246 | 6.8 |
| 2007/8/20 | TROJ_LZDROPPER.A |
ちとらソフト Lhaz | CVE-2007-4428 | 6.8 |
| 2007/8/23 | BKDR_IRCBOT.AJZ |
Trend Micro ServerProtect | CVE-2007-1070 | 10.0 |
| 2007/9/4 | TROJ_ACDROPPER.K |
Microsoft Access | CVE-2005-0944 | 7.5 |
| 2007/9/28 | TROJ_MDROPPER.WI |
Microsoft Word | – | |
| 2007/10/16 | EXPL_PIDIEF.A |
Adobe Acrobat | CVE-2007-5020 | 9.3 |
| 2007/10/23 | EXPL_PIDIEF.B |
Adobe Acrobat | CVE-2007-5020 | 9.3 |
| 2007/10/26 | EXPL_PIDIEF.C |
Adobe Acrobat | CVE-2007-5020 | 9.3 |
| 2007/10/25 | TROJ_REAPALL.A |
RealNetwork RealPlayer | CVE-2007-5601 | 9.3 |
| 2007/10/29 | EXPL_PIDIEF.D |
Adobe Acrobat | CVE-2007-5020 | 9.3 |
今後の傾向を予測するべく、上記リストから読み取れるアプリケーションの特徴についてあげてみましょう。
- 企業において標準利用が定められているライセンスアプリケーションである。
- 企業において不正ソフトウェアと設定されておらず、利用者の判断で利用できるフリーソフトウェアである。
- 共通脆弱性評価システム CVSSのレーティングが 6.8 ポイント以上である。
今回はさらに、各脆弱性の[概要]/[想定される影響](* 注釈3)についてテキストマイニングを実施し、頻出用語について分析を行いました。
その結果、注目すべき頻出単語として、次のキーワードが浮かびあがってきました。
- 任意のコード
- 第三者によって細工
- 権限
企業の管理者はソフトウェアベンダーやセキュリティ機関が公開する脆弱性情報において、上記頻出用語が出現している場合、まずは自社における利用状況を確認することが望まれます。
その上で、共通脆弱性評価システム CVSSのような客観的な評価基準に従って、修正プログラム適用の優先度を決定していくことが有効です。
経験値に基づく分析(テキストマイニングの頻出用語分析)、システムによる客観的な分析(CVSSによる数値分析)をうまく組み合わせていくことで、未知なる脅威を予見し、早期に対策を施していくことを推奨します。
* 注釈1. Trend Micro Security Blog における Adobe Acrobatの脆弱性、ウイルスに関する記事は以下のとおり
2007-10-17 Adobe Acrobat / Reader 8.1における実行ファイルの自動実行の危険性
2007-10-25 PDFファイルアタックとRussian Business Network
2007-10-27 PDFファイルアタックの日本上陸を確認
* 注釈2. ウイルスニュース – 2007/8/27
PDFやZIPの添付ファイルで拡散するスパムメールが拡大中
~画像スパムから添付ファイル型スパムへ。スパムメール配信業者の暗躍~
* 注釈3. 今回、各脆弱性の[概要]/[想定される影響]については、JVN iPedia : 脆弱性対策情報データベースに記載されている内容を使用し、テキストマイニングを実施しています。