Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

日本語ワープロソフト一太郎を利用した今年のゼロデイ脆弱性と標的型攻撃

Created: 16 Jun 2011 03:46:01 GMT • Translations available: English
Kazumasa Itabashi's picture
0 0 Votes
Login to vote

今年に入り、日本語ワープロソフト一太郎の未知の脆弱性を使用した標的型攻撃を複数回確認しています。既に作成、販売元である株式会社ジャストシステムにより、修正プログラムが配布されています。当該ソフトウェアをご使用の場合は、この修正プログラムの利用をお勧めします。現時点では、この修正プログラムは、一太郎のバージョン 2009 から 2011 など一部製品バージョン用のみ公開されています。その他のバージョン向けの修正プログラムは後日公開される予定です。

シマンテックでは、この脆弱性を利用したマルウェアを Trojan.Tarodrop.L として検出します。以前は Trojan.Tarodrop として検出していました。

この脆弱性は、メモリ管理プログラムの不具合を使用して、ヒープ領域を破損させ、任意のコードを実行させます。一太郎ファイルに添付された HTML 関連ファイルを読み込むときにその不具合は発生します。細工を施したファイルサイズの値を使用することにより、添付されたファイルの内容をヒープ領域のバッファを超えて上書きされます。

今回の攻撃では、ヒープ領域を下の図のような特定のデータで上書きすることで、別の領域にあるシェルコードを実行させています。

攻撃者の最終的な目的は、対象のコンピュータにバックドアを開き、コントロールすることにあります。添付されている別のマルウェアを投下し実行させます。シマンテックでは Backdoor.Trojan として検出します。複数の種類のマルウェアを確認していますが、いずれもバックドアを開き侵入先のコンピュータを管理下に置こうと試みます。

確認した Trojan.Tarodrop.L のすべてのファイルにおいて、一太郎の圧縮機能を利用しています。圧縮することにより、ファイルサイズを低く抑えることができます。ヒープ破損の脆弱性を利用するときに使用する大量のデータや、シェルコードを隠すことができます。

標的型攻撃は、一般的に使用されている脅威よりも気付かれにくい特徴があります。このような攻撃を防ぐためには、本ブログの冒頭でも述べたように、公開されている当該ソフトウェアの修正プログラムを使用すべきです。また、出所不明なファイルを不分別に開くことは避けるべきです。

いつものことですが、セキュリティソフトの定義ファイル、シグネチャ、ファイアウォールルールを最新に保つことを心がけることが必要です。

弊社セキュリティレスポンスでは、Twitter アカウント(英語)でも情報を配信しております。本件につきましては、http://twitter.com/#!/threatintel/statuses/81181640835088384 もご参照ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blog Entry Filed Under: