今回検証する不正プログラムは「TROJ_TARODROP.K」だ。「TROJ_TARODROP.K」は,ジャストシステム製日本語ワードプロセッサ「一太郎」のセキュリティ・ホール(脆弱性)を攻撃する不正プログラムである。便宜上「不正プログラム」と呼んでいるが,「TROJ_TARODROP.K」の実体は実行可能形式のプログラム・ファイルではなく,一般にEXPLOITと呼ばれるセキュリティ・ホールの攻撃コードを含んだ一太郎文書ファイルである。
文書ファイルの不正プログラムと言うとマクロウイルスを想像する人が多いかもしれないが,既にマクロウイルスはほとんど絶滅状態である。現在ではこの「TROJ_TARODROP.K」のようにその文書ファイルを扱うアプリケーション(一太郎,Microsoft Office,Adobe Acrobat,など)のセキュリティ・ホールを攻撃するタイプが専らだ。
トレンドマイクロではこのような文書ファイルのセキュリティ・ホールを攻撃する不正プログラムは,主に特定対象へのターゲット攻撃に使用されているものと見ている。一般的な検体収集ではほとんど入手できず,非常に限定された範囲からの調査依頼によって確認されることが多いからだ。
一太郎は日本製の日本語ワープロ・ソフトであり,ユーザーのほとんどが日本人と考えられる。以前は,日本地域に特化するようなソフトに対する攻撃はほとんど無かった。この一太郎に関しても,以前はそれほど攻撃対象になっていなかったが,2006年に初めてセキュリティ・ホールへの攻撃が確認された後,2007年には4種類ものセキュリティ・ホールへの攻撃が確認されている。
2007年4月に登場した「TROJ_TARODROP.K」は,2007年に起こった一太郎のセキュリティ・ホールへの攻撃の最初のものである。ターゲット攻撃の被害はなかなか公になりにくいが,日本製ソフトのセキュリティ・ホールへの攻撃増加は,日本がターゲット攻撃の標的となっていることの傍証になるものと言えよう。
前置きが長くなったが,「TROJ_TARODROP.K」の実行に移る。まずは,一太郎2006を使用して検証を行う。一太郎の場合には最新製品の一太郎2008から一太郎2004などの以前の製品まで同一のセキュリティ・ホールが確認される場合が多く,確認自体はどのバージョンでも可能だ。解析チームでの現象再現に最もよく使用されている一太郎2006をまずは使用することにした。
早速,一太郎2006をインストールした環境で検体を”TarodropK.jtd”というファイル名にして,デスクトップにコピーした。そして検体ファイルをダブルクリックしてオープンすると,最初に起動された一太郎のウインドウがいったん終了し再起動した後に,文章が表示されたかのように見えた(図1)。
これだけでは見過ごしてしまうかもしれないが,1点だけ確実に不審な点がある。一太郎上でオープンされているファイルは「a.jtd」というファイル名になっている。ダブルクリックしたのは「TarodropK.jtd」というファイルだったはずだが,何があったのだろうか?
