寄稿: 末長政樹
今年に入ってからすでに、ゼロデイ脆弱性の悪用がいくつか確認されています。これらの脆弱性は全世界のユーザーに影響を及ぼしており、個人も組織も急いでコンピュータの保護対策を行う必要に迫られています。うんざりするような繰り返しですが、日本語ワープロソフト「一太郎」をお使いのユーザーは、まだ安心するわけにはいかないようです。
ジャストシステム社は、現在悪用が確認されている 1 件の脆弱性について発表しました。シマンテックは、この悪用を 1 月中ごろから確認していましたが、被害は日本のユーザーに限られています。この脆弱性を悪用する攻撃は通常、圧縮ファイルを伴っており、そこに以下のファイルが含まれています。
- 正常な一太郎文書(.jtd ファイル)
- 改変され、隠しファイル属性が設定された JSMISC32.DLL ファイル
- 隠しファイル属性が設定され、.jtd 拡張子の付いた悪質な DLL ファイル
図.圧縮ファイルに含まれているファイル
脆弱性のあるコンピュータで一太郎文書を開くと、一太郎は JSMISC32.DLL を検索します。この DLL は通常、インストールパスかシステムディレクトリにあります。今回の標的型攻撃では、正常な一太郎文書を開くと、同じディレクトリにある JSMISC32.DLL が実行され、次に .jtd 拡張子の付いた悪質な DLL ファイルが実行されます。JSMISC32.DLL は悪質な .jtd ファイルをロードするように改変されています。この .jtd ファイルも、実際には DLL ファイルです。
シマンテックは、この攻撃に利用されているファイルを含む圧縮ファイルを Bloodhound.Exploit.489として未然に検出します。悪質な DLL は Trojan Horseや Backdoor.Trojanなどとして検出されます。この悪用から保護するには、ジャストシステム社のサイトからパッチをダウンロードして適用し、セキュリティソフトウェアを最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。