JPCERT コーディネーションセンターは6月1日、「社内 PC のマルウエア感染調査を騙るマルウエア添付メールに関する注意喚起」を発表しました。
今回はこのインシデントにおける添付ファイル「Virus Check.zip」に注目し、その脅威について報告いたします。
 |
|
|
図1は、Microsoft Windows XP環境においてメールに添付されていたZIPファイルの中身と、ZIPファイルを展開することで得られる、Wordアイコンの「Virus Checkrcs.doc」という名前のファイルのスクリーンショットです。日本語で書かれたメールと添付ファイルが届くこのインシデントは、国内でも複数の企業において受信が確認されています。
以下に、JPCERT/CCからの注意喚起を抜粋します。
「JPCERT/CC Alert 2010-06-01」より抜粋
|
現在、JPCERT/CC では、以下のような日本語で書かれたメールを確認しています。 メール件名: メール本文(抜粋):
添付ファイル名: メールに添付された zip ファイルを展開すると、Microsoft Office Word のアイコンに偽装されたスクリーンセーバ (.scr) ファイルが展開されます。ユーザが、このスクリーンセーバファイルを実行すると、ユーザの PC にマルウエアがインストールされる危険性があります。(同時に「VIRUS/悪性スクリプトの調査」というドキュメントが開かれます。)
|
「Microsoft Office Word のアイコンに偽装されたスクリーンセーバ (.scr) ファイルが展開されます。」と記載されています。「図1」の展開された「Virus Checkrcs.doc」のファイル名末尾「rcs.doc」の文字列に注目してください。
実は、この「Virus Check.zip」に含まれる実行ファイルには、Unicodeの制御文字 RLO(Right-to-Left Override)の機能を悪用した、拡張子偽装が行われています。
Windowsではファイル名やフォルダ名に、右から左へ流れる名前を付ける機能が実装されています。これは、アラビア語やヘブライ語などの言語圏において、文字を右から左に向かって読む習慣を受けたもので、Unicodeで記述されたテキスト中に制御記号「U+202e」を挿入することで、文字の流れを左→右から右→左へと変更することができます。
このような偽装の手口は2006年ごろから日本国内において確認されています。国外においては現時点では極めてまれな偽装の手口ですが、先月は台湾においてその被害が報告されていました「SASFIS Malware Uses a New Trick」(2010年5月31日、英語ブログ)。
攻撃者は、制御記号を使って「Virus Check[U+202e]cod.scr」という名前のファイルを作成します(このように表記されていれば拡張子が「.scr」であることは理解できます)。制御記号が入っているため、Unicodeに対応した環境の場合、このファイルのファイル名は「Virus Checkrcs.doc」と見えます。
すなわち、本来「.scr」の拡張子を持つファイルが「.doc」拡張子であるかのように偽装することが可能です。加えて、今回のインシデントにおいてはJPCERT/CCからの報告にもあるとおり、アイコン偽装が行われています。このため、文書ファイルであると誤って判断し、ファイルを開く可能性を高くしている意図が垣間見えます。
攻撃者によるソーシャルエンジニアリング効果を狙ったトリックは拡張子偽装だけではありません。「Virus Check[U+202e]cod.scr」ファイルを実行すると、図2の「virus.doc」文書(危険性のないファイル)が開きます。
![図2. 「Virus Check[U+202e]cod.scr」ファイル実行により開く文書ファイル](/wp-content/uploads/2010/06/100603comment02.gif) |
|
|
利用者は、メール本文と一致するWord文書が表示されるため不審に気づかないかもしれません。一方で、「一個でも引っかかる方は、素早く手をあげてください!」といった日本語に違和感を覚える利用者もいることでしょう。いずれにせよ、これは攻撃者によるトリックであり、無害なWord文書ファイルが開いた裏側では悪意あるファイルのドロップが行われているのです。
現段階では被害の詳細は明らかになっていませんが、巧妙な攻撃が行われている以上、攻撃者の意図もより深いものであることは容易に推測できます。
以下に一連のインシデントにおいて用いられている3つのファイルを解説します。
トロイの木馬
| ファイル名 | Virus Check[U+202e]cod.scr |
| 作成場所 | メール添付ファイル「Virus Check.zip」を展開することで得られる。拡張子偽装により「Virus Checkrcs.doc」と見える。 |
| ウイルス名 | TROJ_UNDEF.QC |
| 対応パターンファイル | 7.195.00 |
| ファイルサイズ | 173,221 bytes |
| MD5ハッシュ値 | 49425B4ADBF6E735EE216FB708A24CBA |
| SHA1ハッシュ値 | 209C3CA6880CB4C7C6BEDD0A837AAB129339C09B |
ルートキット
| ファイル名 | null.sys |
| 作成場所 | <Windowsシステムフォルダ>\drivers\null.sys
<Windowsシステムフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows XP/Server 2003 の場合、「C:\WINDOWS\system32」。 |
| ウイルス名 | RTKT_AGENT.AVEP |
| 対応パターンファイル | 7.205.00 |
| ファイルサイズ | 59,648 bytes |
| MD5ハッシュ値 | 29F437B436D3386657964FAEF9FBAC46 |
| SHA1ハッシュ値 | 0F9E1DFC995D27F485C8AAA70FC3F756A5532883 |
無害なWord文書ファイル
| ファイル名 | virus.doc |
| 作成場所 | %ProgramFiles%\Adobe\virus.doc |
| ウイルス名 | N/A |
| ファイルサイズ | 22,016 bytes |
| MD5ハッシュ値 | CC780C0197440DC35E8B3BB1852C9654 |
| SHA1ハッシュ値 | 6E6308ECED2833E9BE21A172AC56261AF019CB72 |
「RTKT_AGENT.AVEP」(null.sys)について、Microsoftが提供する Sigcheck により、ファイル バージョン情報を確認します。また、同じくMicrosoft提供の「File Checksum Integrity Verifier utility」により、ハッシュ値情報を確認してみます。
| 正規ファイル | ウイルス |
 |
 |
73C1E1F395918BC2C6DD67AF7591A3AD |
29F437B436D3386657964FAEF9FBAC46 |
署名の偽装が確認できますが、ハッシュ値情報から正規のファイルでないことは明らかです。
今後の攻撃に備えた対策
今回のインシデントでは、日本語メール/拡張子偽装/実行後の動作といった巧みなソーシャルエンジニアリング効果を狙ったトリックがみられました。今回の攻撃で使用された不正プログラムに対し、トレンドマイクロでは2010年5月26日以降のウイルスパターンファイルにてその検出に対応済みです。しかしながら、未知の不正プログラムを用いた同様の攻撃手法は今後も登場することが想定されます。このため、このような攻撃に対しては以下のような基本対策が効果的です。
- レピュテーション技術
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持
- OSのみならず、アプリケーションの脆弱性に対する速やかな修正
- 不審なファイルは開かない
- データ実行防止(DEP:Data Execute Prevention)機能の利用検討
- 「Microsoft Office Isolated Conversion Environment(MOICE)」を使用したファイル変換
このような対策を推進していく上で、セキュリティ対策製品を上手く活用し、リスク回避を検討してみてはいかがでしょうか。最後に、日頃からのセキュリティ基本対策を怠るべきではないこと。特に「信頼できないファイルは開かない」とのセオリーを徹底することの重要性を注意喚起としてお伝えします。