Products
Applications
Support
Company
How To Buy
Skip to main content (Press Enter).
Sign in
Skip auxiliary navigation (Press Enter).
Register
Skip main navigation (Press Enter).
Toggle navigation
Search Options
Home
My Communities
Communities
All Communities
Enterprise Software
Mainframe Software
Symantec Enterprise
Blogs
All Blogs
Enterprise Software
Mainframe Software
Symantec Enterprise
Events
All Events
Enterprise Software
Mainframe Software
Symantec Enterprise
VMware
Water Cooler
Groups
Enterprise Software
Mainframe Software
Symantec Enterprise
Members
Endpoint Protection
View Only
Community Home
Threads
Library
Events
Members
Back to Library
一太郎の脆弱性の悪用に成功した攻撃を確認
0
Recommend
Nov 26, 2013 12:53 AM
A L Johnson
シマンテックは、
「複数の一太郎製品に存在する不解決のリモートコード実行の脆弱性」
(CVE-2013-5990)として知られる一太郎の新しいゼロデイ脆弱性について、以前
ブログ
でお伝えしました。この時点では、この脆弱性が盛んに悪用されていることは確認されたものの、うまく機能せず実際にコンピュータへの侵入はありませんでした。その 1 週間後、シマンテックは、攻撃者の意図どおりに動作する悪用コードを複数のインシデントで確認しました。この悪用コードは、標的型攻撃でよく使われているバックドアを利用して、標的のコンピュータに実際に侵入することが可能です。脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式で、ジャストシステム社が開発したワープロソフトウェア「一太郎」が標的になっています。
悪用が不首尾に終わった前回の攻撃では、悪質な文書に
Backdoor.Vidgrab
の亜種とシェルコードが埋め込まれていました。このときのサンプルの場合、シマンテックのテスト環境では、シェルコードはバックドアを投下することができませんでした。今回の悪質な文書ファイルには、
Backdoor.Korplug
、
Backdoor.Misdat
、および
Trojan Horse
として検出される各種のマルウェアを投下するシェルコードが含まれています。投下されるのはいずれも、標的型攻撃でおなじみのバックドア型のトロイの木馬です。Backdoor.Korplug は 2012 年に出現して以来、標的型攻撃で頻繁に使われています。Backdoor.Misdat は 2011 年、米国や日本に拠点を置く組織が狙われたときに主として確認されましたが、最近の攻撃ではあまり使われていません。
ペイロードとして Backdoor.Vidgrab を使い続けていたうちは悪用の試みに失敗していましたが、その後は戦術を変えて各種のバックドアを使うようになり、悪用に成功するようになっています。また、シマンテックは、今回標的が広がってより多くの組織が狙われるようになっていることも確認しています。このことから、攻撃者はテスト運用を行って悪用の成否を確かめる段階を終え、いよいよ一太郎の脆弱性を悪用して実害のある攻撃を仕掛ける段階に入ったのではないかと考えられます。さらに、一太郎の脆弱性を悪用した攻撃を仕掛けるためのツールキットを他の攻撃者と共有し始めている可能性もあります。いずれにしても、この脆弱性を悪用する攻撃が増加していることは確かであり、一太郎をお使いのユーザーはこれらの攻撃に警戒する必要があります。
ただし、脆弱性の悪用に成功している攻撃が複数見つかったとしても、一太郎ユーザーが大騒ぎする必要はありません。この脆弱性に対するパッチはすでに公開されており、ダウンロードできるようになっています。まだこのパッチを適用していない場合には、ただちにパッチを適用してください。シマンテックは、今回説明した悪質なリッチテキストファイルを
Trojan.Mdropper
として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、
http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja
にアクセスしてください。
Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads
Tags and Keywords
Related Entries and Links
No Related Resource entered.
Copyright 2019. All rights reserved.
Powered by Higher Logic