米 Microsoftは、2013年11月5日(米国時間)、未修正の脆弱性が利用され、一部報道によると、その脆弱性が特定の国々において標的型攻撃に用いられたことを発表。このエクスプロイトコードは、Microsoft Office の 2003、2007、2010、Windows XP、および Server 2003 に存在するこれまで未確認であった脆弱性を利用するように設計されていました。
問題の脆弱性「CVE-2013-3906」は、Office および Windows の以前のバージョンに存在する「Microsoft Graphics Component」における TIFF形式の画像の処理方法が原因となります。この脆弱性を利用するための一般的な方法は、不正な TIFF ファイルをもつ文書ファイル(拡張子DOC)を埋め込むことで行われます。攻撃者は、巧妙なソーシャルエンジニアリングの手法を利用することで、ユーザにこの不正なファイルを添付した Eメールをプレビューさせたり、この脆弱性を利用するエクスプロイトコードを組み込む Webサイトを閲覧させたりするよう促すことができます。そしてこの脆弱性が利用されると、攻撃者は、ログイン中のユーザと同じユーザ権限を取得する可能性があります。なお、ユーザ権限が低く設定されているアカウントを持つユーザは、この脆弱性による影響が少ないと考えられています。
ここで考えるべき重要な点が 2つあります。1つ目は、このゼロデイ攻撃が、当初特に中東、南アジアといった特定の地域において確認されたという点です。しかし、この攻撃が他の国々へ波及するのは時間の問題です。ユーザや企業・組織にとって、少なくとも基本的なソーシャルエンジニアリングの手口やサイバー犯罪者が自身の攻撃にソーシャルエンジニアリングをどのように組み込むことができるかなどを知っておくことは重要です。また、企業・組織は、攻撃受けることを想定したペネトレーションテストを含むソーシャルエンジニアリング関する教育を従業員に徹底することでその効果を得ることができます。企業が標的型攻撃から自社のインフラを守るための方法に関する情報は、こちらをご参照ください(英語情報)。
2つ目は、古いバージョンのソフトウェアのみがこの脅威によって影響を受けているという点です。本件は、古いバージョンのソフトウェアがこのような攻撃に対して影響を受けやすかったということを示す初めての事例ではなく、例えば、これまでにも今年の 8月のJava 6に存在するゼロデイ脆弱性を利用した事例がありました。幸い、今回の場合は、修正パッチを適用することで対処できますが、長い目で見ると、潜在的に危険と言えます。ユーザやシステム管理者は、ソフトウェアの継続的な更新作業によるセキュリティ上の利点を十分に検討してください。
Microsoft は、この問題を一時的に対処するため、Fix it ソリューションを公開しました。なおトレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
弊社は、本攻撃に関連する複数のWebサイトをブロックし、このエクスプロイトコードの検体を取得しました。これらの検体は、「TROJ_ACTIFF.A」および「TROJ_ACTIFF.B」として検出されます。トレンドマイクロは、この脅威を積極的に監視し、随時本ブログでさらなる情報を更新していきます。
参考記事:
by Gelo Abendan (Technical Communications)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)