※本記事は、McAfee Labs 東京 主任研究員 本城信輔によるものです。
ジャストシステムは9月に、同社のワープロソフト「一太郎」に新たな脆弱性が見つかったとの報告を発表しました。この脆弱性の修正プログラムを、同ベンダーはすでに公開しています。
9月中旬以降、McAfee Labsではこの脆弱性をエクスプロイトするために巧妙に作られた、多数のjtdファイル(トロイの木馬「Exploit-TaroDrop.i」として検出)を観測しています。これらの一太郎文書ファイルを開く時に多様なバックドア型トロイの木馬が実行されますが、実行ファイルのほとんどは「suchost.exe」で、トロイの木馬ファミリーの「BackDoor-DKI」や、「Poison Ivy」に分類されています。
このバックドア型ファミリーは、「Explorer」および「Internet Explorer」のプロセスにスレッドを挿入し、攻撃者が感染したマシンを制御して、キーストロークやファイルなどの情報を盗めるようにする追加モジュールをリモートサイトからインストールします。ここで留意すべきは、この「Poison Ivy」という脅威は、サイバー諜報活動用だったと、数多く報告されていることです。もちろん、「一太郎」は、「Poison Ivy」をインストールする数多くのエクスプロイト攻撃の1つに過ぎません。私たちは、トロイの木馬「BackDoor-DKI」を投下するpdfファイルや、Microsoft Officeファイルなどの文書ファイルを利用した、多種多様なエクスプロイト攻撃を目撃することができます。
ユーザーは、安易にメールの添付ファイルを開かないよう用心することが必要です。未知の送信者から届いたものには、特に注意が必要です。
