『Microsoft Word』の未対応脆弱性を狙うゼロデイ攻撃発生

この記事のURLhttp://japan.internet.com/webtech/20060523/12.html

『Microsoft Word 2002』および『同 2003』などの脆弱性を突くゼロデイ攻撃が発生している。言うまでもないが、Eメールの添付ファイル (今回の場合は Word ファイル) を迂闊に開かないことが肝心だ。

問題となっている攻撃は、『Windows』用の Word に存在する未修正の脆弱性を突くゼロデイ攻撃で、攻撃者が作成した Word ファイルを開くと、同脆弱性により悪質プログラムが活動を開始する。

セキュリティ会社 Symantec の情報によれば、この Word ファイルがトロイの木馬『Trojan.Mdropper.H』で、バックドアプログラムをしかけ、攻撃者にシステム情報の収集やコマンドシェルの利用を許しかねないという。このトロイの木馬については、Symantec のほかにも複数のセキュリティ企業が警告を発している。

Microsoft は6月の月例更新 (6月13日予定) で、同脆弱性に対応するという。

Microsoft のセキュリティ対策組織 Microsoft Security Response Center (MSRC) のマネージャ Stephen Toulouse 氏は、同センターの Blog で次のように書いている。「これまでのところ、攻撃は非常に限定的だ。協力関係にあるウイルス対策企業も、大半が低ランクの危険度と評価している」

同 Blog によると、ユーザーが問題の Word ファイルを開かないかぎり、攻撃は成立しないという。ただ Toulouse 氏は、そうはいっても「問題の深刻さを否定しようという訳ではない」と付け加えている。

Microsoft は、「影響を受けた数組の顧客」と協力して対応を進めていると述べた。なお同社は、今後発見し得る変種についても確実に検出できるよう、調査を続行中だ。

今回のゼロデイ攻撃についてセキュリティ勧告を出した Secunia によると、Microsoft がわずか数組の被害顧客に注意を向けている間にも、状況は急速に変化する可能性があるという。

Secunia の CTO (最高技術責任者) Thomas Kristensen 氏は、「今のところ、同脆弱性を突いた攻撃は、対象の狭い攻撃のようだ」としながらも、現段階よりはるかに広範な対象の攻撃に発展する可能性が「間違いなくある」として警鐘を鳴らしている。

Microsoft の Toulouse 氏によると、問題のトロイの木馬を添付した Eメールの件名は、「Notice」(注意) や「RE Plan for final agreement」(最終承認計画について) というものを観測したという。

Microsoft はまた、Eメールの添付ファイルを開く際には、送信元が誰であれ十分に注意を払うよう呼びかけると共に、攻撃を受けるユーザーが管理者権限を持っていなければ、問題を緩和する可能性があると指摘している。

なお情報セキュリティ研究機関 SANS Institute も、今回の問題について警告を出した。

SANS の調査責任者 Johannes Ullrich 氏によると、攻撃は「ほぼ間違いなく中国から来たもの」という。

この攻撃が発生していると最初に報告があったのは、日本の政府機関だったと見る向きもあるが、Ullrich 氏は、米国の国防関係の契約受注業者が受けた攻撃を根拠に、SANS は報告書を作成したと述べた。