????????????????????
シマンテックは、「複数の一太郎製品に存在する不解決のリモートコード実行の脆弱性」(CVE-2013-5990)として知られる一太郎の新しいゼロデイ脆弱性について、以前ブログでお伝えしました。この時点では、この脆弱性が盛んに悪用されていることは確認されたものの、うまく機能せず実際にコンピュータへの侵入はありませんでした。その 1 週間後、シマンテックは、攻撃者の意図どおりに動作する悪用コードを複数のインシデントで確認しました。この悪用コードは、標的型攻撃でよく使われているバックドアを利用して、標的のコンピュータに実際に侵入することが可能です。脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式で、ジャストシステム社が開発したワープロソフトウェア「一太郎」が標的になっています。
悪用が不首尾に終わった前回の攻撃では、悪質な文書に Backdoor.Vidgrab の亜種とシェルコードが埋め込まれていました。このときのサンプルの場合、シマンテックのテスト環境では、シェルコードはバックドアを投下することができませんでした。今回の悪質な文書ファイルには、Backdoor.Korplug、Backdoor.Misdat、および Trojan Horse として検出される各種のマルウェアを投下するシェルコードが含まれています。投下されるのはいずれも、標的型攻撃でおなじみのバックドア型のトロイの木馬です。Backdoor.Korplug は 2012 年に出現して以来、標的型攻撃で頻繁に使われています。Backdoor.Misdat は 2011 年、米国や日本に拠点を置く組織が狙われたときに主として確認されましたが、最近の攻撃ではあまり使われていません。
ペイロードとして Backdoor.Vidgrab を使い続けていたうちは悪用の試みに失敗していましたが、その後は戦術を変えて各種のバックドアを使うようになり、悪用に成功するようになっています。また、シマンテックは、今回標的が広がってより多くの組織が狙われるようになっていることも確認しています。このことから、攻撃者はテスト運用を行って悪用の成否を確かめる段階を終え、いよいよ一太郎の脆弱性を悪用して実害のある攻撃を仕掛ける段階に入ったのではないかと考えられます。さらに、一太郎の脆弱性を悪用した攻撃を仕掛けるためのツールキットを他の攻撃者と共有し始めている可能性もあります。いずれにしても、この脆弱性を悪用する攻撃が増加していることは確かであり、一太郎をお使いのユーザーはこれらの攻撃に警戒する必要があります。
ただし、脆弱性の悪用に成功している攻撃が複数見つかったとしても、一太郎ユーザーが大騒ぎする必要はありません。この脆弱性に対するパッチはすでに公開されており、ダウンロードできるようになっています。まだこのパッチを適用していない場合には、ただちにパッチを適用してください。シマンテックは、今回説明した悪質なリッチテキストファイルを Trojan.Mdropper として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
