「一太郎」の新たなゼロデイ攻撃確認 情報収集が目的か?

 今年3度目となるジャストシステムのワープロソフト「一太郎」を標的としたゼロデイ攻撃を確認しました。リージョナルトレンドラボでは、2010年9月13日以降、2種類の不正な一太郎ファイル(拡張子JTD)を入手。この2つの不正ファイルは、一太郎に存在する前回および前々回と異なるゼロデイ脆弱性を利用して、感染コンピュータ上でファイルを作成し実行することが判明しました。
 ジャストシステムから修正プログラム公開完了の報告を受け、ここにこの事例に関する詳細情報を公開致します。

攻撃タイプ ベンダ発表(発表日:2010/11/04) 脆弱性情報
会社名 識別番号 情報のタイトル CVE JVN JVNDB
受動 ジャストシステム JS10003 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について CVE-2010-3915 JVN#19173793 JVNDB-2010-000052
CVE-2010-3916 JVN#01948274 JVNDB-2010-000053

 リージョナルトレンドラボでは、2010年9月13日以降、2つの脆弱性を悪用する不正な一太郎ファイルを入手。脆弱性「JVNDB-2010-000052」を利用する不正ファイルは、トレンドマイクロでは「TROJ_TARODRP.SM」として検出。そして、もう1つは、脆弱性「JVNDB-2010-000053」を利用し、「TROJ_TARODROP.BZ」として検出されます。

 今回の攻撃の感染の流れは、以下のとおりとなります。

  1. 特別に細工された不正な一太郎ファイル「TROJ_TARODRP.SM」「TROJ_TARODROP.BZ」が、スパムメールの添付ファイル、あるいは、悪意あるWebサイトを介してコンピュータに侵入。
  2. これら2つの不正な一太郎ファイルは、それぞれ脆弱性「JVNDB-2010-000052」と「JVNDB-2010-000053」を利用し、ドロッパーを作成。
  3. このドロッパーは、バックドア型不正プログラムを作成。
  4. バックドア型不正プログラムのバックドア活動により、システム情報など感染コンピュータ上の情報がリモートサーバに送信される。

 では、以下に「TROJ_TARODRP.SM」から始まる攻撃事例の詳細をご説明します。

脆弱性「JVNDB-2010-000052」を利用する「TROJ_TARODRP.SM」■

 問題の不正なJTDファイル「TROJ_TARODRP.SM」は、恐らくスパムメールの添付ファイルとして侵入するか、悪意あるWebサイトを介して侵入したものと推測されます。不正なファイル名は、”<日本語の文字列>.jtd”となります。

 「TROJ_TARODRP.SM」は、コンピュータに侵入後、トロイの木馬型不正プログラム「TROJ_DROPPER.QVA」を作成します。「TROJ_DROPPER.QVA」は、感染コンピュータのログイン中ユーザが管理者権限を保持しているかどうかをまず確認。そして、ユーザが持つ権限に応じて、Windows起動時に自身が自動実行されるように<startup>フォルダ内に自身のコピーを作成します。そして、今回も前回の事例と同様に、ドロッパーであるトロイの木馬型不正プログラム「TROJ_DROPPER.QVA」が、バックドア型不正プログラム「BKDR_GOLPECO.A」を作成します。

図:ゼロデイ脆弱性

 「BKDR_GOLPECO.A」は、コマンド&コントロール(C&C)サーバに接続し、不正リモートユーザからのコマンドを待機します。「BKDR_GOLPECO.A」は、ボットとして用いられる可能性があり、その際、不正リモートユーザは、感染コンピュータ上で以下のコマンドを実行することが可能です。

  • シェルコマンドの実行
  • 感染コンピュータ上のファイルの上書き/検索
  • Webサイトからファイルのダウンロードおよび実行

 また、このバックドア型不正プログラムは、以下の情報を収集する機能も備えています。

  • ドライブ情報
  • コンピュータ名
  • OS情報
  • ホスト名
  • MACアドレス

 このように、今回の攻撃を仕掛けたサイバー犯罪者の狙いは、情報収集にあるといえるでしょう。これは、「TROJ_TARODROP.BZ」による攻撃では、利用されるバックドア型不正プログラムは異なるようですが、目的は同じであるようです。また、前回の事例同様、今回のゼロデイ攻撃も、一太郎のユーザに対象を定めた標的型攻撃であるため、その分、感染率も高くなります。

対策・関連情報■

 ジャストシステムは、2010年11月4日、同社Webサイトにおいて、今回の脆弱性に対応するための「アップデートモジュール」を公開しました。

 しかし、サイバー犯罪者は、まだ修正パッチを施していないユーザを狙い、「TROJ_TARODRP」ファミリによる攻撃を仕掛けてくることが予想されます。トレンドマイクロでは、公開された修正パッチを施すまで、ユーザは、送信元が不明な場合や信頼できない一太郎ファイルを不用意に開かないよう注意を呼びかけています。

 トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」と連携し、今回の攻撃に関連する「TROJ_TARODRP.SM」および「TROJ_DROPPER.QVA」、「BKDR_GOLPECO.A」を検出および削除し、これらの脅威からユーザを守ります。

【更新情報】
10/11/09 17:10
・「TROJ_TARODRP.SM」および「TROJ_DROPPER.QVA」、「BKDR_GOLPECO.A」のウイルス情報へのリンク先を追加しました。

 執筆・編集: Jonathan Leopando、船越 麻衣子(Core Technology Marketing, TrendLabs)