これはデジャヴでしょうか。2011 年 6 月のマイクロソフト月例パッチに含まれる脆弱性が悪用されているというブログ記事を書いたのは、昨年のちょうど今ごろのことでしたが、今年も 7 月の月例パッチに含まれる脆弱性が悪用されています。
3 月の中ごろから、Microsoft Visual Basic for Applications の DLL ロードで任意のコードが実行される脆弱性(CVE-2012-1854)を悪用する悪質なファイルが添付され、標的ごとにカスタマイズされた電子メールが送信されています。添付されているアーカイブファイルには、正常な Microsoft Word ファイルと悪質な DLL(ダイナミックリンクライブラリ)ファイルが格納されています。これまでのところ攻撃は限定的ではありますが、影響を受けているのは、ほとんどが日本の企業です。
脆弱性は、Visual Basic for Applications が DLL ファイルのロードを処理する方法に関係し、攻撃者はリモートでコードを実行してコンピュータを危殆化することができます。この脆弱性を悪用するには、.doc ファイルなど任意の Microsoft Word ドキュメントを作成し、特別に細工された Imeshare.dll という名前のマルウェアを同じフォルダ内に格納します。Word ファイルに問題はなく、どんなファイルでもかまいません。特別なコードも不要です。Word ファイルは、標的となる組織で実際に使われている正規のファイルの場合も、外部の契約業者から受け取る一般的なファイルの場合もあります。問題なのは DLL ファイルのほうで、この脆弱性を悪用するように特別に開発されています。悪質な添付ファイルの内容を以下の図に示します。Word 文書のファイル名は任意ですが、DLL ファイルの名前は常に同じです。
上の図の例ではアーカイブに zip ファイル形式が使われていますが、任意のアーカイブタイプを使うことができます。これまでのところ、zip ファイル形式と LZH アーカイブの利用が確認されています。アーカイブを確認すれば DLL ファイルにすぐ気づきますが、いったん解凍すると、隠しファイルに設定されているため見落とされてしまう恐れがあります。これは、Windows XP で[フォルダオプション]の[ファイルとフォルダの表示]で[隠しファイルおよび隠しフォルダを表示しない](Windows 7 の場合は、[フォルダーオプション]の[ファイルおよびフォルダーの表示]で[隠しファイル、隠しフォルダー、または隠しドライブを表示しない])が選択されていると、ファイルを解凍したときに Word ファイルしか見えないからです。そうなると、ユーザーは何も不審な点がないと考えてファイルを開いてしまい、コンピュータが感染してリモートの攻撃者による完全な制御を許してしまうことになります。
Imeshare.dll という名前のファイルには、Trojan Horse、Trojan.Dropper、Backdoor.Trojan、Backdoor.Darkmoon など何種類ものマルウェアが見つかっています。
コンピュータを保護するために、すぐにこの脆弱性に対応するパッチを適用してください。また、受信したメールに添付ファイルやリンクが含まれている場合は特に注意が必要です。まして DLL ファイルがあるときは厳重に警戒してください。通常メールで送られてくるようなファイルではありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。