米マカフィーは2007年4月9日(米国時間)、4月6日に公表された「一太郎シリーズ」のぜい弱性(セキュリティホール)を悪用するウイルスの詳細を明らかにした(関連記事)。一太郎シリーズのユーザーは、ウイルスが含まれる文書ファイルを開くだけで、パソコンを乗っ取られる恐れがある。
今回のぜい弱性は、これを悪用するウイルス(悪質な文書ファイル)が出現したために明らかになった。今回のように、対策(修正プログラムやアップデートモジュール)が未公表のぜい弱性を悪用する攻撃は、「ゼロデイ攻撃」と呼ばれる。一太郎シリーズを狙ったゼロデイ攻撃は、2006年8月にも出現している(関連記事)。
マカフィーで確認したウイルスファイルは、拡張子がjtdの一太郎文書ファイル。ファイル名は日本語(図1)。同社は、具体的なファイル名を伏せている。
このウイルス文書ファイルを一太郎シリーズで開くと、仕込まれたウイルス(Exploit-TaroDrop.b)がぜい弱性を突いて勝手に動き出し、別のウイルス(BackDoor-DKI.dldr)をWindowsのシステムフォルダーに生成して実行する。
その後、ウイルスは自分の痕跡を消すために、ウイルス文書ファイルを開いた一太郎シリーズを終了させる。そしてすぐに一太郎を再起動し、“無害”の「a.jtd」という文書ファイルを読み込ませる(図2)。当初開いたファイルとは名前が変わっているので、注意していれば異変に気付くが、それを見逃すと、ユーザーにはバックグラウンドでウイルスが動き出したことは分からない。
生成されたBackDoor-DKI.dldrは、インターネット上のサイトから「BackDoor-DKI」という別のウイルスをダウンロードしてインストールする。このBackDoor-DKIは、バックドアと呼ばれるウイルス(悪質なプログラム)で、そのパソコンを攻撃者が遠隔から自由に操作できるようにする。
マカフィーなどの情報によれば、今回のウイルス文書ファイルは広くは出回っていない模様だが、一太郎シリーズのユーザーは念のため注意したい。現時点(4月10日正午)でアップデートモジュールは準備中。このためジャストシステムでは、身に覚えのないメールに添付された文書ファイルや、信頼できないWebサイトに置かれた文書ファイルは開かないよう警告している(ジャストシステムの情報)。一太郎シリーズのユーザーは、アップデートモジュールが公開され次第、適用して対策を施したい。
