国内外のセキュリティ組織ならびベンダーは5月20日,Microsoft Wordに見つかった新しい脆弱性(セキュリティ・ホール)を悪用するプログラムが出回っているとして注意を呼びかけた。細工が施されたWordファイルを開くと,ボットのような悪質なプログラムをインストールされる恐れがある。現時点では修正パッチは未公開。回避策は,信頼できないファイルを開かないことなど。
セキュリティ組織などの情報によると,Word 2003およびWord XPにはバッファ・オーバーフローのセキュリティ・ホールが見つかったという(JPCERT/CCなどでは,これら以外のWordにも同様のセキュリティ・ホールが存在する可能性があるとしている)。このため細工が施されたファイルをWord 2003/XPで開くと,ファイルに仕込まれた任意のプログラムを実行させられる可能性がある。
実際,今回のセキュリティ・ホールを突いてボットを勝手にダウンロードおよび実行させるWordファイルが確認されている。そのようなファイルを開くと,パソコンを事実上乗っ取られてしまう(関連記事:極悪ウイルス「ボット」の危険性を認識しよう)。
加えて,そのようなWordファイルを添付したメールが,特定の企業/組織に向けて送られているという。メールは,その企業/組織の関係者から送られたように見せかけられている(関連記事:あなたの上司を装って「トロイの木馬」が忍び寄る)。
今回のセキュリティ・ホールは新しく見つかったもので,米Microsoftだけではなく,他のベンダーや組織,ユーザーからも公表されていない。攻撃プログラム(ファイル)が出回ったことで,初めてその存在が明らかとなった。いわゆる“0-day”である。このため,現時点では修正パッチ(セキュリティ更新プログラム)は未公開。
対策は,信頼できないファイルは開かないこと。なお,攻撃プログラムが仕込まれたWordファイルが,ExcelファイルやPowerPointファイルといった他のOfficeファイルに埋め込まれている可能性もあるので要注意。Wordファイルに限らず,出所が信頼できないファイルはすべて注意すること。
ただし前述のように,信頼できる相手から送られたように見せかけたメールに添付されている可能性がある。パッチが未公開の現状では,たとえ信頼できる相手から送られてきたように見えても,添付ファイルを安易に開くべきではない。
SANS Instituteなどの情報によれば,ウイルス対策ソフトの一部は,今回のセキュリティ・ホールに対応しているという。具体的には,セキュリティ・ホールを突くファイルをウイルスとして検出できる。過信は禁物だが,最新のウイルス定義ファイル(パターンファイル)をインストールした対策ソフトの利用も回避策の一つになるだろう。
◎参考資料
◆Reports of a new vulnerability in Microsoft Word(米Microsoft)
◆Microsoft Word の脆弱性に関する注意喚起(JPCERT/CC)
◆JP Vendor Status Notes Microsoft Word に脆弱性(JVN)
◆Technical Cyber Security Alert TA06-139A Microsoft Word Vulnerability(米US-CERT)
◆Vulnerability Note VU#446012 Microsoft Word buffer overfow(米US-CERT)
◆Targeted attack: Word exploit - Update(米SANS Institute)
◆Targeted attack: experience from the trenches(米SANS Institute)
