米トレンドマイクロは1月29日、トロイの木馬が埋め込まれた「Microsoft Word(Word)」ファイルによるターゲット型攻撃が発見されたことを明らかにした。この攻撃はWordの既知の脆弱性を悪用したもので、時事ニュースを装ったスパムメールに添付されているという。
発見されたWordファイルは、チベット政府に関するニュース等を装ったメールに添付されており、ファイル名(※1)は実際のプレスリリースやニュース速報と同じもの。問題の文書ファイルを開くと、ニュース内容が表示されるが、その裏でトロイの木馬が投下される。米トレンドマイクロによると、昨年の10月にも同様の攻撃が発見されたという。
ターゲット型攻撃は、不特定多数を対象にした従来の攻撃と異なり、対象を少数に絞って攻撃をしかけてくる。このため発見が遅れがちになり、ウイルス対策ソフトの対応が後手に回ることもある。
今回の攻撃は、マイクロソフトが2006年6月と2007年2月にパッチ(MS06-027、MS07-014)を公開済みの脆弱性を悪用したものと判明。米マカフィーは、このような既知の脆弱性を悪用したマルウエアが、日常的にパッチをインストールしていないユーザーにとって脅威であり続けていると指摘。常にベンダーが提供する最新のパッチをインストールするように呼びかけている。
一方、トレンドマイクロは、今回発見されたWordファイルのプロパティ情報の「前回保存者名」に、中国国内で暗躍する正規ソフトウェアの不正利用集団が使用している組織名が表示されることを明らかにした。この組織名は、昨年9月に発見された福田首相をかたるウイルスメールの作者名と共通している。
トレンドマイクロは、ターゲット型攻撃の対策として、セキュリティソフトやベンダーのパッチを最新の状態で維持することにくわえ、興味をそそるファイル名であっても不審なファイルは開かない、データ実行防止機能の利用を検討するなどの方法をあげている。
※1)発見されたMS Wordファイル名
・Free Tibet Olympics Protest on Mount Everest.doc
・CHINA’;S OLYMPIC TORCH OUT OF TIBET 1.doc
・2007-07 DRAFT Tibetan MP London schedule.doc
・DIRECTORY OF TIBET SUPPORT GROUPS IN INDIA.doc
・Disapppeared in Tibet.doc
・African countries need to further consolidate macroeconomic stability.doc
・Hong Kong Parade Supports 19 Million CCP Withdrawals.doc」
(2008/02/04 ネットセキュリティニュース)
■トロイの木馬が埋め込まれたMicrosoft Wordファイルによるターゲット攻撃(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/1287
■Trojanized .DOC Files in Targeted Attack[英文](TrendMicro)
http://blog.trendmicro.com/trojanized-doc-files-in-targeted-attack/
■Making News with Old Word(s): MS06-027 and MS07-014[英文](McAfee)
http://www.avertlabs.com/research/blog/index.php/2008/01/31/making-news-with-old-words-ms06-027-and-ms07-014/
■福田新首相を騙った不審なメール(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/1219
■MS06-027:Word の重要な更新(マイクロソフト)
http://www.microsoft.com/japan/security/bulletins/MS06-027e.mspx
■MS07-014:Word の重要な更新(マイクロソフト)
http://www.microsoft.com/japan/security/bulletins/ms07-014e.mspx