米シマンテックは2007年6月25日(米国時間)、ファイル圧縮・解凍ソフト「Lhaca(ラカ)」のぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた。LZH形式(.lzh)のウイルスをLhacaで読み込むと、パソコンを乗っ取られる恐れがある。今回のウイルスが悪用するぜい弱性に対する修正プログラムなどは公表されていないので、「ゼロデイウイルス」といえる。
今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。同社が解析したところ、何らかのぜい弱性を突くものであることが明らかとなった。その後の調査で、日本国内で広く使われているLhacaに、修正プログラムが未公開のぜい弱性があることが判明。今回のウイルスはそのぜい弱性を悪用するものだと分かった。同社の情報によれば、少なくてもLhaca(デラックス版)1.20に、今回のぜい弱性が存在するという。
同社が検証したところ、日本語版Windows XP上のLhaca 1.20において、ウイルスは動作したという。LZH形式ファイルであるウイルスをLhacaで読み込むと、ウイルスは別のウイルスを生成して実行する。生成されたウイルスは「バックドア」と呼ばれる種類のウイルスで、攻撃者(ウイルス作者)が遠隔からそのパソコンを操作できるようにする。つまり、攻撃者にパソコンを乗っ取られる恐れがある。
バックドアを生成したウイルスは、その後、無害のLZHファイルも生成し、Lhacaに読み込ませて解凍させる。ユーザーに疑わせないためだ。無害のLZHファイルを生成して解凍させることで、Lhacaで開いたLZHファイルがウイルスだと気付かれないようにする。解凍によって、無害の一太郎形式の文書ファイルが生成される。
LZH形式やLhacaおよび一太郎は、主に日本国内で利用されているので、今回のウイルスは日本のユーザーを標的にしている可能性が高いという。今回のようなウイルスの被害に遭わないためには、たとえファイル名が魅惑的であっても、信頼できないメールの添付ファイルは絶対に開かないよう、シマンテックでは改めて注意を呼びかけている。
→続報:「+Lhaca」の修正版がリリース、ウイルスが狙うぜい弱性を解消
