フィンランドF-Secureは現地時間5月21日,企業や組織においては,特定サイトへのアクセスを制限することが,Microsoft Wordに見つかった新しい脆弱性(セキュリティ・ホール)の影響を軽減する方法になると発表した。
Wordの新しい脆弱性を突くDOCファイルが出回っているとして,5月19日以降,セキュリティ組織やベンダーが警告している(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。細工が施されたDOCファイルをWordで開くと,ファイルに仕込まれたバックドアが動き出し,特定のサイトへアクセスするという。攻撃者は,そのサイトからバックドアを経由して,そのパソコンに自由にアクセスできるようになる。
F-Secureによると,Wordの脆弱性を突く今回のような攻撃は,過去に何度も確認されているという。具体的には,2005年3月,9月,2006年3月,4月に確認されている。1999年ごろはマクロ・ウイルスが全盛だったためにDOCファイルへの警戒心が高かったが,現在では警戒されなくなっているので,攻撃が“成功”しやすいという。
今回の脆弱性を突くDOCファイルに限らず,以前のDOCファイルについても,ファイルに仕込まれたバックドアは,中国のユーザーに向けた特定ドメイン(3322.orgや8866.orgなど)のサイトへアクセスするという。このため企業や組織においては,支障がなければ,そのようなドメインのサイトへのアクセスをブロックすることが,攻撃の影響を軽減する方法の一つであるとしている。
ブロックしないまでも,ゲートウエイのログをチェックして,そのようなサイトへのアクセスがないかどうか調べることを同社では勧めている。そのようなサイトへのアクセスが頻繁にあれば,企業/組織内のパソコンにバックドアが仕込まれている可能性がある。
◎参考資料
◆3322, 8866 and others(フィンランドF-Secure)
