ジャストシステム社製のワープロソフト「一太郎」の脆弱性を悪用するトロイの木馬が見つかった問題で、同社は該当する全製品に対応するセキュリティ更新モジュールを公開、ユーザーに導入を呼びかけている。
更新モジュールは、21日に「一太郎9/10/11/12/13/2004/2005/2006/ガバメント2006/2006 体験版/文藝」と「FormLiner」対応版、22日に「一太郎 for Linux」対応版の配布が開始され、すべて同社ホームページからダウンロードできる。
適応後は、問題のあるファイルを一太郎で開いても、読み込めないファイルとして扱われ、不正な動作は発生しなくなる。また、同更新モジュールは、8月18日に公開した「一太郎2005/2006」用の内容も含んでおり、すでに導入済みの場合は、本モジュールを導入する必要はない。
なお、この脆弱性を悪用したウイルスメールが、複数の中央省庁職員宛てに送り付けられていたことが18日、明らかになった。
送りつけられたメールには「一太郎」で作成された「小泉首相の靖国神社参拝速報.JTD」というファイルが添付されており、開くと脆弱性を悪用して文書内に埋め込まれた不正なプログラムを実行する。実在の民間企業の職員を装って送られていたが、送信元は国外である可能性が高いという。現在のところ情報流出の被害は発生していないが、内閣官房情報セキュリティセンターでは、機密情報が外部に流れ出す危険があるとして、各省庁に注意を呼びかけている。
(2006/08/22 ネットセキュリティニュース)
■一太郎の脆弱性を悪用した不正なプログラムの実行危険性について(ジャストシステム)
http://www.justsystem.co.jp/info/pd6002.html
■Ichitaro Document Viewer Buffer Overflow Vulnerability[英文](Secunia)
http://secunia.com/advisories/21552/
■Justsystem Ichitaro Document Handling Buffer Overflow and Code Execution
Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/3332
■ジャストシステム社ワープロソフト一太郎の脆弱性について(警察庁@Police)
http://www.cyberpolice.go.jp/important/2006/20060821_155727.html
■内閣官房情報セキュリティセンター
http://www.nisc.go.jp/index.html
【関連記事:ネットセキュリティニュース】
一太郎にゼロデイ攻撃~未知の脆弱性を突くトロイの木馬出現