リージョナルトレンドラボは8月22日、株式会社ジャストシステムのワープロソフト「一太郎」に存在する未知の脆弱性に対してゼロデイ攻撃(修正プログラム未公開のセキュリティホール:脆弱性を悪用する攻撃)を仕掛けるトロイの木馬「TROJ_TARODROP.AK」の被害報告を受信いたしました。
トレンドマイクロでは、無用な混乱を避けるべく、紳士協定に基づいた情報規制を行ってきました。ジャストシステム社からの修正プログラム公開完了の報告を受け、ここに本被害に関する詳細情報を公開いたします。
※2008年8月26日にジャストシステム社から第一報、2008年9月11日に修正プログラムが公開されました。
※モジュールは同社サイトや「JUSTオンライアップデート」を通じて入手可能です。
| 攻撃タイプ | ベンダ発表(発表日:2008/08/26) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | 株式会社ジャストシステム | pd8002 | 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について | CVE-2008-3919 | 9.3(危険) |
| トレンドマイクロ製品による脆弱性緩和策 | |||||
| ソリューション | バージョン | 検出名、検出別名(2008/09/11時点) | |||
 |
ウイルスパターンファイル | 5.494.10 | TROJ_TARODROP.AK Exploit-TaroDrop.e(McAfee) |
||
 |
スパイウェアパターンファイル | N/A | N/A | ||
|
|
ネットワークパターンファイル | N/A | N/A | ||
|
|
セキュリティ診断パターンファイル | N/A | N/A | ||
一太郎の脆弱性を突いた攻撃はこれまでにも報告されています。代表的な事例を下記にリストアップしました。今回確認された攻撃は、過去の攻撃とは異なる脆弱性を悪用していると特定しています。
| ウイルス発見日 | 修正プログラムリリース日 | ウイルス名 | CVE | CVSS |
| 2008/8/22 | 2008/9/11 | TROJ_TARODROP.AK | – | – |
| 2007/12/14 | 2007/12/14 | TROJ_TARODROP.AB | CVE-2007-6436 | 9.3 |
| 2007/8/3 | 2007/8/9 | TROJ_TARODROP.Q | – | – |
| 2007/4/8 | 2007/4/9 | TROJ_TARODROP.K | – | – |
| 2006/9/26 | 2006/9/28 | TROJ_MDROPPER.CE | – | – |
| 2006/8/17 | 2006/8/18 | TROJ_MDROPPER.BL | – | – |
今回発見された「TROJ_TARODROP.AK」は、電子メールや悪意のあるWebサイトを介して侵入したものと推測されます。攻撃ファイルの名前は「{日本語の文字列}.jtd」です。
攻撃は別ウイルスのドロップ。バックドア活動へ繋げる
攻撃者の狙いはバックドア活動による秘密情報の収集です。感染したコンピュータ内の情報を収集し、ポート443を通じてドメイン「skytwo{BLOCKED}.org」へ情報を送信しようとします。
深く静かに感染活動を行うべく、図のように別ウイルスと連携することで目的を達成する戦略が練られています。
 |
|
|
攻撃コードを含む文書ファイルを攻撃コードを含まない文書ファイルにより上書きし、利用者にあたかも正常な文書ファイルを開いたかのように錯覚させる隠蔽手法が採られています。この手法はこれまでの一太郎に対する攻撃においても報告されている手口です。これにより被害者は、バックドアが仕組まれた事実に気づきづらいという特徴があげられます。
また、バックドアの活動プロセスはInternet Explorer(IEXPLORE.EXE)に統合されており、タスクマネージャによるウイルス感染活動の特定が困難となっています。被害発覚を逃れようとする隠蔽工作の一つであると推測されます。
今後の攻撃に備えた対策
現時点において、同種のウイルス拡散は拡大傾向を見せていません。また、一太郎は主に国内での利用率が高い製品であるため、その影響範囲も国内のみに留まると推測しています。
しかしながら、一太郎に限らずオフィスソフトの脆弱性またはオフィスソフトの文書ファイルに偽装したウイルスの攻撃に警戒を強めるべきといえそうです。
管理者は以下の点を利用者へ注意喚起していくことが、本攻撃に対する予防策として有効です。
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持。
- OSのみならず、アプリケーションの脆弱性に対する速やかな修正。
- いかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックしない。
- 不審な文書ファイルを開かない。
- データ実行防止(DEP:Data Execute Prevention)機能の利用検討。
リージョナルトレンドラボでは、引き続き「TROJ_TARODROP」ファミリの動向について分析を行っていきます。
補足1. パトランプは緩和策となるパターンファイルがリリースされている場合、点灯します。緩和策となるパターンファイルがリリースされていない場合、消灯しています。
【訂正と追記】
| 2008/09/16 | 22:15 | CVE番号(CVE-2008-3919)、深刻度情報を追記いたしました。 |