Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

悪用された韓国のオフィスソフトウェア

Created: 14 Nov 2011 09:55:00 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

2011 年 9 月下旬、それまで知られていなかった、Hancom Office (主に韓国で使用されているワープロソフト)の未修正の脆弱性が悪用されたという報告がありました。世界中で使用されているソフトウェアを狙う新たな悪用についてはよく耳にします。こうした悪用は人々の注目を集めがちですが、限られたユーザーが使用している地域性の高いソフトウェアが悪用の標的となるケースもあります。同じように地域性の高いソフトウェアがマルウェア攻撃で悪用された例として、一太郎があります。一太郎は、主に日本の政府機関やその関連機関で使用されているワープロソフトです。

今回のケースでは、Hancom 製品の報告済みの脆弱性を悪用するマルウェアのサンプルをいくつか突き止めました。サンプルは、文書ファイル(ファイル拡張子 .hwp)に含まれており、脆弱なバージョンの Hancom Office がインストールされているコンピュータで文書を開くと、この脆弱性の悪用が試みられます。悪用に成功すると、マルウェアがコンピュータに投下され、あらかじめ設定されたサイトへのバックドアが開きます。
 
地域性の高いソフトウェアを使用しているからといって、マルウェア攻撃のリスクがないとは言えません。今回の Hancom 製品を使った攻撃や、過去に一太郎が攻撃に利用されたことが、それを証明しています。悪質な攻撃者は、マルウェア攻撃に利用できる新たなセキュリティホールを常に探しています。そのため、地域性の高いソフトウェアは、マルウェア作成者の攻撃手段として重要な役割を持つ可能性があります。これはニッチな手法ですが、今後の攻撃において拡大していく領域であると考えられます。
 
 
脅威の検出とリスク軽減

悪質な文書ファイルは、Bloodhound.Olexe として検出されます。投下されるファイルは、Backdoor.Trojan として検出されます。

この問題について顧客にアドバイザリを公開した Hancom は、10 月中旬に脆弱性を修正しました。また、韓国のインターネット関連やセキュリティ関連の機関もアドバイザリを掲載しています。

このようなタイプの攻撃を受けるリスクを軽減するには、ソフトウェアを常に最新に保つ必要があります。また、不明な電子メールの添付ファイルを開く際には十分に注意する必要があります。

シマンテックでは、今週香港で開催される AVAR 会議において、地域性の高いソフトウェアの脆弱性を利用する標的型攻撃について発表する予定です。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。