ジャストシステムの「一太郎」を狙ったゼロデイ攻撃が再び確認されています。「日本リージョナルトレンドラボ」は、2010年4月21日、不正な一太郎のファイル(拡張子JTDのファイル)を入手。この不正なファイルは、解析の結果、前回とは異なる新たな脆弱性を悪用する機能を備えていることが判明しました。この脆弱性が悪用されると、感染コンピュータ上で任意のコードが実行される可能性があります。
新たなゼロデイ脆弱性を利用する問題のファイルは、トレンドマイクロの製品では「TROJ_TARODROP.XZ」として検出。この特別に細工されたJTDファイルには、2つのファイルが埋め込まれていました。その一つは、「TROJ_TARO.XZ」として検出される不正な実行ファイルで、もう1つは、無害な文書ファイル。この2つのファイルは、感染コンピュータ上で「TROJ_TARODROP.XZ」により作成され起動します。
「TROJ_TARO.XZ」は、不正リモートユーザが不正なファイルをダウンロードするために利用されるトロイの木馬型不正プログラムです。現時点では、「TROJ_TARO.XZ」によりダウンロードされる不正プログラムは確認されていませんが、今後、ダウンロードされるように変更される可能性があるので注意が必要です。
ジャストシステムは、2010年6月1日、同社Webサイトにおいて、今回の脆弱性に対応するための「アップデートモジュール」を公開しました。
また、「JPCERTコーディネーションセンター」および「独立行政法人情報処理推進機構(IPA)」は、共同で運営する「脆弱性対策情報データベース」上で、今回の脆弱性情報「JVNDB-2010-000024」を公開しています。
しかし、サイバー犯罪者は、まだ修正パッチを施していないユーザを狙い、「TROJ_TARODROP」ファミリによる攻撃を仕掛けてくることが予想されます。トレンドマイクロでは、ユーザは公開された修正パッチを施すまで、送信元が不明な場合や信頼できない一太郎ファイルを不用意に開かないよう注意を呼びかけています。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」と連携し、今回の攻撃に関連する「TROJ_TARODROP.XZ」および「TROJ_TARO.XZ」を検出および削除し、これらの脅威からユーザを守ります。
【更新情報】
10/06/01 18:35
・JPCERTコーディネーションセンター発表の脆弱性情報を追加しました。
・「TROJ_TARODROP.XZ」および「TROJ_TARO.XZ」のウイルス情報ページへのリンクを追加しました。
「Another Vulnerability Discovered in Ichitaro」より
May 31, 2010 Erika Mendoza
|
翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)