米McAfeeの研究チーム「AVERT Labs」スタッフによるブログによれば,Microsoft PowerPointのパッチ未公開セキュリティ・ホールを狙った攻撃は,特定のユーザー/組織を標的とする「スピア攻撃」だった可能性が高いという。現地時間9月26日付けの情報で明らかにした。
マイクロソフトは9月28日,PowerPointに新たなセキュリティ・ホールが見つかり,それを悪用する攻撃(pptファイル)が確認されたことを明らかにした(関連記事:またもやPowerPointにセキュリティ・ホール)。修正パッチは未公開。このため今回の攻撃は,いわゆるゼロデイ攻撃(用語解説)である。
AVERT Labsのブログでは,マイクロソフトの情報公開に先駆けて,今回のセキュリティ・ホールとゼロデイ攻撃に関する情報を公表していた。それによると,(その時点では)攻撃は1カ所(a single target)に対してのみ確認されたいう。このため同情報では,今回のゼロデイ攻撃は,Microsoft Officeを狙った最近のゼロデイ攻撃と同じように,スピア攻撃だった可能性が高いとみている(関連記事1:スピア攻撃と闘う,関連記事2:MS Officeを狙う“ゼロデイのスピア攻撃”が相次ぐ)。
米Symantecなどの情報によれば,今回のゼロデイ攻撃に使われたファイルの名前は「FinalPresentationF05.ppt」および「2006-Jane.ppt」。これらがメールに添付されて,特定の企業/組織に送信されたものと推測される(今後は,これら以外のファイル名が付けられる可能性が高いので,ファイル名だけで判断することは禁物)。
また,AVERT Labsの情報によれば,現地時間9月26日時点ではマイクロソフト(米Microsoft)からはセキュリティ・ホールに関する情報は公開されていなかったものの,同社のウイルス対策ツールの定義ファイル(シグネチャ)は,セキュリティ・ホールを悪用するファイル(プログラム)に対応していたという。AVERT Labsスタッフは,9月23日付けの定義ファイルで検出できたことを確認。その画面イメージを公開している(写真)。
・McAfee AVERT Labs blogの情報
・米Symantecの情報
