7月9日、SANS Instituteが運営するインターネットストームセンター Handler’s DiaryにMicrosoft Wordの脆弱性(CVE-2008-2244)を悪用したDOCファイルがターゲット攻撃として悪用されている情報が公開されました。
- SANS Handler’s Diary : Unpatched Word Vulnerability
- Microsoft Security Response Centerブログ:MSRC Blog: Microsoft Security Advisory 953635
日常のやりとりで取り扱われる文書ファイルは格好の標的となっています。
ここでは、今回の攻撃で悪用された脆弱性とトレンドマイクロが提供する緩和策について紹介いたします。
| 攻撃タイプ | ベンダ発表(発表日:2008/07/09) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | マイクロソフト株式会社 | (953635) | Microsoft Word の脆弱性により、リモートでコードが実行される | CVE-2008-2244 | 9.3(危険) |
| トレンドマイクロ製品による脆弱性緩和策 | |||||
| ソリューション | バージョン | 検出名、検出別名(2008/07/09時点) | |||
 |
ウイルスパターンファイル | 5.397.00 | TROJ_MDROPPER.ZT Trojan-Dropper.MSWord.Agent.cq(F-Secure) Trojan-Dr(Kaspersky) Troj/MalDoc-Fam(Sophos) |
||
 |
スパイウェアパターンファイル | N/A | N/A | ||
|
|
ネットワークパターンファイル | N/A | N/A | ||
|
|
セキュリティ診断パターンファイル | N/A | 2008/7/9時点 修正プログラム:未提供 | ||
今回のケースでは以下のようなファイル名での流通が確認されています。これらファイル名は、開催が目前に迫っている「北京オリンピック」関連の情報であると思わせ、被害者側の警戒心を緩めようとしている意図が読み取れます。
- attachment .doc
- appeal_letter_of_fttj.doc
- attend_the_opening_ceremony_of_the_29th_olympic_games_in_beijing.doc
- five_resolutions.doc
- lingotto_con_fiat.doc
 |
|
|
今後、同様の手法を悪用した別のウイルスが出現する可能性も考えられます。管理者は以下の点を利用者へ注意喚起していくことが、本攻撃に対する予防策として有効です。
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持。
- いかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックしない。
- 不審なDOCファイルを開かない。
リージョナルトレンドラボでは、引き続き「TROJ_MDROPPER」ファミリの動向について分析を行っていきます。
補足1. 深刻度はCVSS基本値に基づき3段階のレンジが設定されてます。
| 深刻度 | CVSS基本値 |
| レベルIII(危険) | 7.0~10.0 |
| レベルII(警告) | 4.0~6.9 |
| レベルI(注意) | 0.0~3.9 |
補足2. パトランプは緩和策となるパターンファイルがリリースされている場合、点灯します。緩和策となるパターンファイルがリリースされていない場合、消灯しています。