昨今、Adobe AcrobatやAdobe Flash、マイクロソフトのWindowsなどの人気アプリケーションに存在する未修正の脆弱性(ゼロデイ脆弱性)が注目を浴び、狙われる傾向にあります。しかし、今回の攻撃においてはターゲットが絞られ、日本語のワープロソフトとして人気のあるジャストシステムの「一太郎」が標的となり、このソフトに存在する脆弱性が悪用されました。
たびたび狙われるマイクロソフトのアプリケーションを標的とするゼロデイ脆弱性と同様に、特別に細工された一太郎のファイル(拡張子JTDのファイル)を開く手口によりこの脆弱性が悪用され、感染コンピュータ上でランダムにコードが実行されるように仕組まれていました。この結果、不正リモートユーザが感染コンピュータを制御することが可能となります。
この脆弱性を悪用した手口は、標的型攻撃で用いられていることが確認されています。トレンドマイクロの製品では、トロイの木馬型不正プログラム「TROJ_TARODROP.AV」として検出。この不正プログラムは、次に、「BKDR_AHNSY.A」を作成し、実行します。このバックドア型不正プログラムは、他のサーバからの指示により、以下のコマンドを実行することができます。
- 情報の送受信
- プロセスの追加や表示、強制終了
- 不正なファイルのダウンロードおよび実行
今回、標的となった一太郎は、日本のワープロソフト・アプリケーション市場において、第2のシェアを占めています。現在、このワープロソフトに存在する脆弱性を悪用する手口は、標的型攻撃においてのみ確認されていますが、新しく見つかった脆弱性は、通常まず標的型攻撃で利用され、いずれ広く知られるようになることが多いため、この脆弱性についても、大規模な攻撃で利用されるようになる可能性があります。
一太郎は、過去において、既にゼロデイ脆弱性を利用されたことがあります。2006年に初めてこのソフトに存在する脆弱性を狙った攻撃が確認されており、1年後、さらに2つの事例が確認されています。その後、2009年にも同ソフトに存在する別の脆弱性を悪用した攻撃が確認されています。
「JPCERTコーディネーションセンター」は、同団体の「脆弱性対策情報データベース」上で、今回の脆弱性情報「JVNDB-2010-000015」を公開しています。また、ジャストシステムも同様に、4月12日、同社のWebサイトにおいて、今回の脆弱性についての情報を公開しています。一太郎のバージョン2009および2010の製品における対策・回避策もすでに公開されています。それ以前のバージョンについては、2010年4月12日時点、準備中です。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、今回の攻撃に関連する「TROJ_TARODROP.AV」および「BKDR_AHNSY.A」を検出および削除し、これらの脅威からユーザを守ります。
註:2010年4月13日公開済の記事を再投稿しております。
「Zero-Day Vulnerability Hits Popular Japanese Word Processor」より
April 12, 2010 Jonathan Leopando
|
翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)
