「一太郎」などで任意のコードが実行される脆弱性、すでにゼロデイ攻撃の発生も確認

ジャストシステム社では、2013年2月26日、「一太郎」などの同社製品で任意のコードが実行される脆弱性が存在することを公開しました。この脆弱性に関し、トレンドマイクロでは特に「一太郎」ユーザを標的とした未修正の脆弱性への攻撃(ゼロデイ攻撃)の発生を確認しております。


今回の攻撃で利用された脆弱性は「CVE-2013-0707」として認識される脆弱性です。既に「一太郎2013」、「一太郎2012」、「一太郎2011」などの新しい製品に関してはアップデートモジュールが公開されておりますので、早急な適用を推奨します。ただしそれ以前のバージョンに関しては、2月28日以降の対応になることがアナウンスされており、それらの製品の使用者についてはゼロデイ攻撃の状態が継続しています。ご使用の製品のバージョンを確認の上、ジャストシステム社の案内をご確認ください。

この脆弱性は、文書ファイルのオープン時に同じフォルダ内に存在する DLLファイルが読み込まれてしまうというものです。したがって攻撃を成功させるためには、不正な DLLファイルをオープンされる文書ファイルが存在するカレントフォルダに置いておくことが必要となります。

実際の攻撃事例では、脆弱性によって実行される複数の不正ファイルを無害な一太郎文書ファイルと共に、圧縮ファイル内に同梱する形で頒布する手口が確認されています。この同梱される不正ファイルの1つは一太郎が使用する正規ファイルである「JSMISC32.DLL」を改変したものであることが確認されています。不正ファイルには隠し属性が設定されており、攻撃対象のユーザがファイルを解凍した場合にその存在に気づきにくいようになっています。ただし、圧縮解凍用ソフト上では隠し属性が設定されているファイルも表示されますので確認は可能です。

同様の脆弱性を狙った攻撃は、「Microsoft Office」などの製品でも以前に確認されており、今回は一太郎とそのユーザが標的となったものと言えます。いずれにせよ、脆弱性を利用した攻撃は関連する脆弱性の修正により、100%防ぐことができるものです。今回の脆弱性攻撃に関しましてはジャストシステム社の案内を確認のうえ、早急なアップデートの適用を推奨します。あるいはアップデートが早期適用できない場合には、特に電子メールや Web経由で入手した一太郎文書ファイルは圧縮ファイル中の一太郎文書ファイルは安易に開かないよう注意してください。

■トレンドマイクロの対策
トレンドマイクロでは、今回の脆弱性攻撃に使用された不正プログラムを 1月17日公開の OPR 9.661.00 以降にて、以下の名称で検出対応しています

  • 「PTCH_ETUMBOT.AV」-改変された「JSMISC32.DLL」に対する検出名
  • 「BKDR_ANONY.AC」-最終的にインストールされるバックドアに対する検出
  • また、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の一機能である「ファイルレピュテーション技術」でも検出が可能です。

    このような脆弱性への攻撃方法が流布した場合には新種亜種の不正プログラムが複数登場しやすい状態となりますが、脆弱性により未対応の不正プログラムが侵入した場合でも、「ネットワーク挙動監視技術」により、ネットワーク内の不審な挙動を可視化し未確認の不正プログラムの存在を突き止めることが可能です。トレンドマイクロではネットワーク挙動監視による保護手段として「Deep Discovery Inspector」を提供しています。

    これらの製品や機能を有効にして、対策を強化することをトレンドマイクロでは推奨します。