「Microsoft Word」に新たなゼロディ脆弱性

国内外のセキュリティ組織、並びにベンダより、「Microsoft Word」に存在する新たなゼロディ脆弱性を悪用するプログラムの存在が指摘されているようです。

• Microsoft Security Advisory (919637): Vulnerability in Word Could Allow Remote Code Execution

今回発覚したWordに存在するゼロディ脆弱性は「Microsoft Word 2003」及び「Microsoft Word XP」にて起こり得るバッファオーバフローを悪用したものとされており、細工が施されたWordファイルを前述のアプリケーションにて開いた際に、特定のWebサイトに仕掛けられたBOTがインストールされてしまう危険性が指摘されています（「Word 2000」は悪質なファイルによりクラッシュさせられる可能性はあるが、前述のようなセキュリティ上のリスクはないとの事）。現時点で修正パッチは未公開となっており、実際にセキュリティホールを突いてBOTをダウンロード、実行させるWordファイルの存在が確認され、攻撃の出所が中国と台湾である事も判明。IPとドメインは同国で登録され、メールもそこのサーバから送信されているとの事で、このようなファイルが実行されるとコンピュータにバックドアが仕掛けられ、事実上支配下に置かれてしまう危険性があると伝えられています（rootkit機能を持った「トロイの木馬」に分類）。尚「Word viewer」では今回の脆弱性の影響を受ける事はないようです。

現時点では「信頼できないファイルは開かない事。尚、攻撃プログラムが仕込まれたWordファイルが「Excel」や「PowerPoint」といった他のOfficeファイルに埋め込まれている可能性もあるので、Wordファイルに限らず、出所が信頼できないファイルは全て注意する事」といった注意が喚起されていますが、「信頼できる相手から送られてきたように偽装されたメールに添付されている可能性もある」といった事も付け加えられいるので、修正パッチ未公開の現状においては「信頼できる相手からの送付と思われる添付ファイルでも安易に開くべきではない」との認識を持った方が良いかと思われます。

尚、Microsoft Security Response Center（MSRC）によって確認されている悪質メールの件名は「Notice」及び「RE Plan for final agreement」とされており、特定の企業や組織に対して送付されているとの事。殆ど場合においてメール送信者のドメイン名には受信者のドメイン名に似せた文字列が使用され、同じドメインから送られてきたメールに偽装するような手法がとられており、セキュリティ企業のSymantecからは「今回の脆弱性を悪用して日本の政府組織が利用するコンピュータに攻撃を仕掛け、侵入を試みた事例がすでに報告されている」との報告が挙げられています（日本での事例は、Wordドキュメントを開いた際に中国との条約に関する文書が表示され、その表示中にバックドアがシステムにインストールされたとの事。このバックドアはアジア地域のあるIPアドレスに接続を試みて、発信元のPCが通信可能であることを確認。その間にシステムにバックドアがインストールされていたそうです）。

MicrosoftのOfficeチームでは、今回の脆弱性に対処したWordのセキュリティアップデートを作成し、現在最終段階のテストを行っているとの事。遅くとも６月13日にリリースされる月例アップデートに組み込むか、品質が保証されれば前倒しでリリースする予定との意向を示しているようです。尚、現在ウイルス対策ソフトの多くは、最新のウイルス定義ファイル（パターンファイル）にて今回の脆弱性を突くファイルに対応済みとなっているようです。

ゼロディ攻撃【zero-day attack】

ソフトウェアにセキュリティホールが発見された際に、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃。