• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

MS Wordの古いセキュリティ・ホールを狙うウイルス・メールが出回る

勝村 幸博=ITpro 2006/06/28 ITpro
Wordのセキュリティ・ホールを突くDOCファイル(米SANS Instituteの情報から引用)
Wordのセキュリティ・ホールを突くDOCファイル(米SANS Instituteの情報から引用)
[画像のクリックで拡大表示]

 セキュリティ組織の米SANS Instituteやセキュリティ・ベンダーのフィンランドF-Secureなどは現地時間6月27日,Microsoft Wordの古いセキュリティ・ホールを突いて悪質なプログラムをインストールしようとするWord文書ファイル(DOCファイル)が出回っているとして注意を呼びかけた。同ファイルを添付したメールが多数送信されていることを確認しているという。

 出回っているDOCファイルは,2001年7月に公表された「不正なWord文書が自動的にマクロを実行する (MS01-034)」のセキュリティ・ホールを悪用するもの。DOCファイルの名前は「my_Notebook.doc」。このDOCファイルはZIP形式のアーカイブ・ファイルとしてメールに添付されて送られてくる。

 ユーザーがZIPファイルを展開してこのDOCファイルを開くと,中に仕込まれたマクロが勝手に動き出す。そして,実行形式ファイル「666inse_1.exe」をCドライブのルート・フォルダ(C:\)に生成して実行する。この実行形式ファイルは,特定のサイトから指定のプログラムを勝手にダウンロードして実行する悪質なプログラム(ウイルス)である。このようなウイルスは,「ダウンローダ(dwonloader)」と呼ばれる。

 ただし,影響を受けるのは「MS01-034」のパッチを適用していないWord 2002以前(Word 2002を含む)に限られる。それよりも新しいバージョンを使っている場合,あるいはパッチを適用している場合には,マクロのセキュリティ設定を「低」にしていない限り(最近のWordのデフォルトは「高」),DOCファイルを開くだけで被害に遭うことはない。なお,マクロのセキュリティ設定は,「オプション」メニューの「セキュリティ」タブから,「マクロのセキュリティ」をクリックすれば確認できる。

 SANS Instituteによれば,上記以外のウイルス(ダウンローダ)を添付したメールも,ここ数時間で多数確認しているという。例えば,本文に「素敵な写真を添付したので見てほしい」と書かれたウイルス・メールを確認しているという。添付ファイルの実体は実行形式のダウンローダだが,ファイル名を「DC0019.JPG__(多数の_)__JPG.exe)として,JPG画像ファイルに見せかける。ファイル名の中に多数のスペースや「_」を入れて,ウイルス・ファイルを画像や動画に見せかけるのはウイルス・メールの常套手段。だまされないように注意したい。

◎参考資料
Word macro trojan dropper and (another) downloader(米SANS Institute)
Kukudro.A - Macro trojan dropper spammed(フィンランドF-Secure)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る