ここ最近、いくつものゼロデイ脆弱性が矢継ぎ早に出現しており、セキュリティ業界も世界中の IT 管理者も、その対応に追われています。集中攻撃の後で一息つく暇もなく、また新しいゼロデイ攻撃が登場し、問題を起こそうとしています。その対象は主として日本のユーザーです。今回の脆弱性は、日本のワープロソフトウェア「一太郎」に存在するからです。
一太郎の開発元、ジャストシステム社は先日、「複数の一太郎製品に存在する未解決のリモートコード実行の脆弱性」(CVE-2013-5990)により任意のコードが実行されることを発表しました。シマンテックは、2013 年 9 月にこの脆弱性の悪用を試みる攻撃が活動中であることを確認しましたが、シマンテックのテスト環境では、その悪用は機能せず、システムへの侵入は果たせませんでした。いつものとおり、シマンテックはこの発見に続いて、必要な脆弱性開示の手続きを取りました。
シマンテックの解析によると、今回の攻撃で Trojan.Mdropper として検出されるサンプルにはすべて、Backdoor.Vidgrab として検出される同じバックドア型のトロイの木馬が含まれていることが判明しています。悪用に成功すると、理論上はシェルコードが実行され、簡体字中国語版のメモ帳が投下されて起動する一方、システムが危殆化してバックドアがリモートサイトに接続します。これと同時に、同じ Backdoor.Vidgrab の亜種が、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3893)を悪用する水飲み場型攻撃のペイロードとして使われていました(この脆弱性に対しては 2013 年 10 月にパッチが公開済み)。このことから、Internet Explorer の脆弱性を悪用する攻撃と、一太郎の脆弱性を悪用する攻撃の背後には、同じマルウェアグループ、あるいは密接な関係にある別のグループが関与していると考えてもよさそうです。Backdoor.Vidgrab はアジア太平洋地域を狙っており、特に政府関連機関が主な標的となっていることがトレンドマイクロ社の調査によって明らかになっています。シマンテックの遠隔測定も、その見解と矛盾しません。
標的に Trojan.Mdropper が送信される際、電子メールには一太郎のファイル拡張子である .jtd の付いたファイルが添付されていますが、これは実際には .rtf(リッチテキスト形式)ファイルです。.jtd は一太郎専用のファイル形式なので、Microsoft Word でこのファイルを開くことはできません。この攻撃活動で注目に値するのは、マルウェアグループが電子メールに使っている件名も本文も、一般的な標的型攻撃の場合とは異なっていることです。この標的型攻撃で使われている電子メールの例を以下の図に示します。
図. 標的型攻撃に使われている電子メール
この電子メールは、日本で人気のあるオンラインショッピングサイトで各種の商品を購入するようユーザーを誘導します。また、会員が購入した場合にはもれなく通常の 2 倍のポイントを獲得でき、送料も無料になると謳っています。電子メールの添付ファイルは、一太郎の悪用コードを含むチラシです。
2013 年 6 月、シマンテックは .jtd 拡張子を使う類似の Trojan.Mdropper の亜種を確認しましたが、その送り先も上記のマルウェアを受け取った組織でした。異なっているのはファイル形式で、今回の攻撃ではリッチテキスト形式が使われていますが、以前の攻撃では Microsoft Graph グラフを埋め込んだ Microsoft Word 文書が使われていました。特別に細工された Word 文書は、簡体字中国語版の Microsoft Office で作成されたものです。シマンテックの調査によると、この悪用コードも脆弱性の悪用に失敗しています。悪用に成功していれば、シェルコードによって以下の URL からマルウェアがダウンロードされるはずでした。
http://googles.al[削除済み]my.com/index.html
このドメインをホストしているサーバーは、Mandiant 社が「APT12」と呼ぶグループに関連しており、そのマルウェア自体は Trojan.Krast として検出されます。
APT12 グループに属していると思われる攻撃者は、BackdoorVidgrab も開発した可能性があり、同一ではないものの類似の標的を執拗に狙って、一太郎の悪用を試みているようです。この攻撃者は、悪用コードがうまく動作するかどうかをテストするための実験材料として標的を利用している可能性もあります。また、今回の攻撃はただの前哨戦であり、電子メールの効果的な本文や件名、たとえば標的を欺いて悪質な添付ファイルを開かせるだけの説得力がある本文や件名を見つけるために実施されたテストである可能性もあります。
今回ご報告した .jtd ファイルは Trojan.Mdropper として検出されます。また、シマンテックの .Cloud 製品でも、悪質な一太郎ファイルが添付された電子メールは安全に遮断されます。
一太郎をお使いのユーザーは、感染を防ぐために、ジャストシステム社から最新のパッチをダウンロードして適用するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。