Business

ビジネス

日本企業が影響を受けた VBA の脆弱性を悪用する標的型攻撃

japan.internet.com 編集部
2012年7月13日 / 13:00
 
 
 
米国 Symantec の公式 Blog によると、2012年7月の Microsoft 月例パッチに含まれる脆弱性が悪用されているそうだ。

3月の中ごろから、「Microsoft Visual Basic for Applications」の DLL ロードで任意のコードが実行される脆弱性(CVE-2012-1854)を悪用する悪質なファイルを添付した電子メールが、標的ごとにカスタマイズされ、送信されている、という。添付のアーカイブファイルには、正常な Microsoft Word ファイルと、悪質な DLL(ダイナミックリンクライブラリ)ファイルが格納されている。

同社では、メールに添付ファイルやリンクが含まれている場合、また、DLL ファイルが添付されているときは厳重警戒するよう、注意を喚起している。DLL ファイルは通常、メールで送られてくるようなファイルではないからだ。

これまでのところ攻撃は限定的だが、影響を受けているのはほとんどが日本の企業だという。

脆弱性は、Visual Basic for Applications の DLL ファイルのロード処理方法に関係するもので、攻撃者はリモートでコードを実行、コンピュータを危殆化できる。

脆弱性を悪用するには、.doc ファイルなど任意の Word ドキュメントを作成し、特別に細工された Imeshare.dll という名前のマルウェアを同じフォルダ内に格納する。Word ファイルには問題はなく、標的となる組織で実際に使われている正規のファイルの場合も、外部の契約業者から受け取る一般的なファイルの場合もある。

問題は DLL ファイルで、脆弱性を悪用するように特別に開発されている。悪質な添付ファイルの内容は以下の図を参照。Word 文書のファイル名は任意だが、DLL ファイルの名前は常に同じ。

日本企業が影響を受けた VBA の脆弱性を悪用する標的型攻撃
悪質な添付ファイルの内容


図の例では、アーカイブに zip ファイル形式が使われているが、任意のアーカイブタイプを使うことができる。これまで、zip ファイル形式と LZH アーカイブが確認されている。

アーカイブを確認すれば DLL ファイルにすぐ気づくが、いったん解凍すると、隠しファイルに設定されているため、ユーザーが見落としてしまう恐れがある。これは、Windows XP などで[隠しファイルおよび隠しフォルダを表示しない]などが選択されていると、ファイルを解凍したときに Word ファイルしか見えないからだ。

Imeshare.dll という名前のファイルには、Trojan Horse、Trojan.Dropper、Backdoor.Trojan、Backdoor.Darkmoon など何種類ものマルウェアが見つかっているという。
【関連記事】
米 Symantec と Red Hat、データセンター向け共同ソリューションを発表
Symantec、「プリンタ爆弾」マルウェア情報を公開
プリンタから大量の文字化けを出力するマルウェア「Trojan.Milicenso」―米国、インド、欧州、南米で感染拡大中
文科省 科学技術政策研究所が Symantec 3製品で多層防御
シマンテック、ベリサインを統合したノートンセキュアドシールに統一

関連キーワード:
Microsoft
 
添付ファイル
 
マルウェア
 

New Topics

Special Ad

ウマいもの情報てんこ盛り「えん食べ」
ウマいもの情報てんこ盛り「えん食べ」 「えん食べ」は、エンジョイして食べる、エンターテイメントとして食べものを楽しむための、ニュース、コラム、レシピ、動画などを提供します。 てんこ盛りをエンジョイするのは こちらから

Hot Topics

IT Job

Interviews / Specials

Popular

Access Ranking

Partner Sites