「攻撃者には3つの利点がある」---。セキュリティ・ベンダーのフィンランドF-Secureは現地時間7月17日,特定の企業/組織を狙ったMicrosoft Office製品へのゼロデイ攻撃(パッチ未公開のセキュリティ・ホールを突く攻撃)が続いている背景について,同社Webサイトで解説した。
Microsoft Office製品の新しいセキュリティ・ホールを突くゼロデイ攻撃が,5月以降毎月発生している。具体的には,5月にはWord,6月にはExcel,7月にはPowerPointへのゼロデイ攻撃が確認されている(関連記事1:Microsoft Wordにパッチ未公開の脆弱性,関連記事2:Excelにパッチ未公開のセキュリティ・ホール,関連記事3:今度はPowerPointにパッチ未公開のセキュリティ・ホール)。いずれも特定の企業/組織だけを狙った“スピア攻撃”であるという(関連記事:見えにくくなるウイルスの脅威)。
なぜ,続いているのか。MS Office製品に対するゼロデイのスピア攻撃には,攻撃者が有利である点が3つ存在するためだという。
1つは,米Microsoftの修正パッチ公開が月1回であること。緊急を要するパッチについてはこの限りではないが,ほとんどの場合,米国時間の第2火曜日に公開している(この日以外に公開されたのは,過去に3例)。このため,第2火曜日の直後に攻撃を仕掛ければ,最大1カ月の時間が稼げることになる。実際,ExcelとPowerPointのExploit(エクスプロイト:セキュリティ・ホールを突くプログラム)は,パッチ公開日と同じ週に確認されている。
2つ目は,Officeの文書ファイルに関するガードが甘くなっていること。マクロ・ウイルスが流行していた2000年以前ならともかく,現在ではメールに添付されたOfficeファイルをゲートウエイでフィルタリングするような企業/組織はほとんどない。業務上,Officeファイルをメールでやり取りすることが当たり前になっているので,ユーザーの多くはよく考えることなく,メールに添付されたOfficeファイルを開いてしまう。
3つ目は,被害を受けた企業や組織が公表したがらないこと。スピア攻撃によるスパイ行為の被害者になったというと,悪い評判が立つ恐れがあるためだ。このため,被害の実態や手口は公にならない。実際,過去に起きたWord/Excel/PowerPointへのスピア攻撃については,いずれについても被害者や具体的な手口などは明らかにされていない。
