シマンテックは9月28日,ジャストシステムのオフィス・ソフト「一太郎」のセキュリティ・ホールを悪用する新しい文書ファイルが確認されたとして注意を呼びかけた。同ファイルが悪用するのは,パッチ未公開の新しいセキュリティ・ホールであるという。
一太郎を狙うゼロデイ攻撃(パッチ未公開のセキュリティ・ホールを悪用する攻撃)は,8月にも確認されている(関連記事:「一太郎」を狙う不正プログラムに対処するパッチを公開)。今回確認された攻撃は,8月の攻撃とは異なるセキュリティ・ホールを悪用するとみられている。
シマンテックの情報によると,攻撃ファイルはメールなどで送られてくるという。ファイルの名前は「[日本語の文字列].jtd」あるいは「[日本語の文字列].jtd.bat」。攻撃ファイルを開くと,ファイルに仕込まれたセキュリティ・ホールを突くプログラムが動き出し,バックドア(攻撃者がそのパソコンに自由にアクセスできるようにするプログラム)が勝手にインストールされてしまう。
同時に,攻撃ファイル自身を削除し,“クリーン(セキュリティ・ホールを突くプログラムを含まない)”文書ファイルを生成して一太郎に表示させる。このためユーザーには,通常の文書ファイルを開いた場合との違いが分からず,バックドアが仕込まれたことに気がつかない(関連記事:スピア攻撃と闘う)。
一太郎に限らず,オフィス・ソフトを狙ったゼロデイ攻撃が後を絶たない。出所が信頼できないファイルは,ファイルの種類にかかわらず開かないようにしたい。特に,覚えのないメールに添付されたファイルについては,たとえ送信元が知人や信頼できる組織であっても,安易に開かないようにしたい。
