1月29日、TrendLabs Malware Blog(英語ブログ:Trojanized .DOC Files in Targeted Attack)にて複数のTROJ_MDROPPERファミリが電子メールによって、時事ニュースとともに添付され流通している状況を報告させていただきました。すでに英語で記事をご確認いただいている方もいらっしゃるのではないでしょうか。
今回は英語ブログで語り切れなかった真実を含め、この事例を4つのテーマに分けて分析を試みたいと思います。
- 狙われる文書ファイル
- 時事ニュースを悪用したソーシャルエンジニアリングテクニック
- 犯人像、背景の推定
- 今後の対策
狙われる文書ファイル
2007年12月21日に本ブログにて、攻撃手法が能動攻撃から受動攻撃へ変遷していっていることをお伝えいたしました。
今回報じられている攻撃も受動攻撃に分類されるものです。
受動攻撃とは、被害者側が起点となり、被害者が何らかのアクション(要求)を実施した結果、攻撃データを受け取り成立する攻撃手法を指します。
被害者を起点とする必要のある受動攻撃では、日常のやりとりで取り扱われる文書ファイルは格好の標的となっています。
今回の攻撃では、以下の脆弱性が悪用されています。
| 攻撃タイプ | ベンダ発表(発表日:2007/02/14) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | マイクロソフト株式会社 | MS07-014(929434) | Microsoft Word の脆弱性により、リモートでコードが実行される | CVE-2007-0515など | 9.3(危険) |
| トレンドマイクロ製品による脆弱性緩和策 | |||||
| ソリューション | バージョン | 検出名、検出別名(2008/01/31時点) | |||
 |
ウイルスパターンファイル | 4.955.00 | TROJ_MDROPPER.GG TROJ_MDROPPER.GH TROJ_MDROPPER.GI TROJ_MDROPPER.GJ TROJ_MDROPPER.GK TROJ_MDROPPER.TG |
||
 |
スパイウェアパターンファイル | N/A | N/A | ||
|
|
ネットワークパターンファイル | N/A | N/A | ||
|
|
セキュリティ診断パターンファイル | 063 | MS07-014 | ||
今回の攻撃は英語圏を標的としたものでしたが、日本語圏に対する攻撃においても同様の傾向が確認されています。2007年から2008年1月現在までに日本で確認された文書ファイルが標的となった代表的な事例は以下の通りです。
|
ウイルス発見日 |
ウイルス名 |
アプリケーション |
|
2007-01-26 |
Microsoft Word |
|
|
2007-02-03 |
Microsoft Word |
|
|
2007-08-03 |
ジャストシステム 一太郎 |
|
|
2007-09-28 |
Microsoft Word |
|
|
2007-10-16 |
Adobe Acrobat |
|
|
2007-10-23 |
Adobe Acrobat |
|
|
2007-10-26 |
Adobe Acrobat |
|
|
2007-10-29 |
Adobe Acrobat |
|
|
2008-01-24 |
Microsoft Excel |
時事ニュースを悪用したソーシャルエンジニアリングテクニック
繰り返しとなりますが、受動攻撃では被害者にアクション(要求)を実施させる必要があります。そこで悪用されるのが「ソーシャルエンジニアリング」と呼ばれる騙しのテクニックです。
今回のケースでは、チベットとその亡命政府、さらには北京オリンピックを絡めたニュース記事であるかのように装った電子メールに、脆弱性を含む悪意あるWord形式の文書を添付させることで拡散に至っています。
国際的イベントや政治に関する話題は常にサイバー攻撃の標的になりやすいものです。北京オリンピックのみならず、アメリカ合衆国大統領選挙などにも警戒を強める必要があります。また昨今は、地域、組織特有の話題も考慮し、被害者を騙す工夫が施されていることを知っておく必要があります。
初歩的な騙しのテクニックとして、ファイル名やアイコンを変更するような偽装方法があります。
今回のケースでは以下のようなファイル名での流通が確認されています。これらファイル名は、実際のプレスニュースなどの見出しと同じであるため、被害者側も警戒心が弱まり開いてしまう危険性があります。
- Free Tibet Olympics Protest on Mount Everest.doc
- CHINA’;S OLYMPIC TORCH OUT OF TIBET 1.doc
- 2007-07 DRAFT Tibetan MP London schedule.doc
- DIRECTORY OF TIBET SUPPORT GROUPS IN INDIA.doc
- Disapppeared in Tibet.doc
実行ファイル(.EXE)のファイル名を文書ファイル(.DOC)に変更したようなケースでは、実際にファイルを開いたのに文書が表示できないなどの症状により、被害者側も異変に気付く可能性があります。
しかしながら、今回のケースではより高度な騙しのテクニックが悪用されています。
アプリケーションの脆弱性を突くことで、文書ファイルを開いた際にニュースに関連する内容を表示させています。その裏側では、文書の展開と同時にトロイの木馬がドロップされ、ウイルス作者が本来意図する攻撃へ遷移していくこととなります。
 |
|
|
犯人像、背景の推定
文書ファイルのメタデータ(ドキュメントのプロパティ情報)には、作成者、表題、タイトルなど、ドキュメントについての詳細情報が含まれています。
今回の事例においても、これら情報が含まれていることを確認しました。
 |
|
|
メタデータを記載のとおり読み解けば、[作成日時]/[前回保存日時]共に、MS07-014のセキュリティ更新プログラムリリース前の日付になっています。
もちろん、メタデータは容易に改ざん可能であるため情報の信憑性は疑わしいですが、注目に値するポイントであると思われます。
次に注目したポイントは[前回保存者]情報です。中国語で「{BLOCKED}花*(くにがまえに元)」と記録されています。これは一体なにを示しているのでしょうか。
これは、「トマトレイ」と呼ばれる組織名です。中国国内で暗躍するWAREZ(正規ソフトウェアの不正利用)集団が使用している組織名です。
トマトレイでは、Microsoft Office 2003中文版を含む複数の商用ソフトウェアのクラックを目的としたツールを配布しています。
このことからTROJ_MDROPPERファミリの作者はウイルスを組み込むWord文書をクラック版のMicrosoft Wordにて作成した可能性が高いことが推測されます。
トマトレイのクラックツールは主に中国語圏のサイトで公開されています。このため、TROJ_MDROPPERファミリの作者は中国語圏のアンダーグラウンド事情に精通した人物であることも推測できます。
 |
|
声明文の翻訳はリージョナルトレンドラボが実施 |
今後の対策
このような攻撃には次のような対策が有効です。
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持
- OSのみならず、アプリケーションの脆弱性に対する速やかな修正
- 不審なファイルは開かない
- データ実行防止(DEP:Data Execute Prevention)機能の利用検討
DEPは「Windows XP SP2」より実装されたセキュリティ強化機能です。ハードウェアによるサポートを必要とし、その利用にあたって技術的に難度の高い解説を理解する必要があるため、機能は知っていても利用されていない方も多いかと思われます。
DEPはバッファオーバーフロー/バッファオーバーランと呼ばれる脆弱性に対して高い効果を発揮します。
このため、これら脆弱性を悪用してウイルスをドロップしている文書ファイル系ウイルスに対して高い予防効果を発揮します。
この機会に本機能の利用について改めて検討してみてはいかがでしょうか。
* 参考情報. マイクロソフト サポート技術情報:884515「Windows XP SP2 のデータ実行防止機能について」
補足1. 深刻度はCVSS基本値に基づき3段階のレンジが設定されてます。
| 深刻度 | CVSS基本値 |
| レベルIII(危険) | 7.0~10.0 |
| レベルII(警告) | 4.0~6.9 |
| レベルI(注意) | 0.0~3.9 |
補足2. パトランプは緩和策となるパターンファイルがリリースされている場合、点灯します。緩和策となるパターンファイルがリリースされていない場合、消灯しています。
【訂正と追記】
| 2008/02/15 | 16:44 | ウイルス名の改称に伴い、修正いたしました。「TROJ_DROPPER.UQ」は、ウイルスパターンファイル 4.962.01より「TROJ_MDROPPER.GL」に改称 |