シマンテック、一太郎の脆弱性を悪用した攻撃について解説

シマンテックは11月13日、同社のセキュリティ・ブログにおいて、ジャストシステムが一太郎製品群(日本語オフィススイート)のゼロデイ脆弱性を修正するプログラムを公開したのに伴い、この脆弱性を悪用した攻撃について解説した。

今回の攻撃では、悪質な一太郎文書ファイルが添付された電子メールが標的の組織に送信され、ペイロードにBackdoor.Emdivi、Backdoor.Korplug、Backdoor.ZXshell が含まれている可能性があり、これらはすべて侵入先のコンピュータから機密情報を盗み取るためのものだという。

悪質な添付ファイルを一太郎で開くと、ペイロードが投下されるとともに文書が表示される。今回の攻撃では、一太郎をクラッシュさせることなく文書を開いてペイロードを投下するため、被害者はバックグラウンドで起こっていることに気が付かない。

攻撃に用いられる電子メールの内容は、標的となる組織の業務に応じて異なるが、いずれも最近の日本における政治的な出来事に関するものとのことだ。

最近の攻撃に用いられた電子メールでは、本文に、医療費の通知が添付ファイルに含まれていることが記載され、添付ファイルをWindowsコンピュータで開くよう求めている。