シマンテックは2012年2月10日、Microsoft Officeの脆弱性を突く新たな標的型攻撃を確認したとして注意を呼びかけた。攻撃者は、細工を施したWord文書ファイルとDLLファイルを送付。ユーザーがWord文書を開くと、ウイルスの実体であるDLLファイルが勝手に実行される。
同社によれば、ある標的型攻撃において取得したファイルを調べていると、妙なWord文書ファイルとDLLファイルの組み合わせを見つけたという。分析したところ、Officeの脆弱性を悪用するファイルセットであることが判明した。
悪用するのは、2011年9月に日本マイクロソフトが公表した脆弱性。細工が施されたWord文書などのOfficeファイルを開くだけで、同じフォルダーのDLLファイルが勝手に実行されるというもの。
同社では、この脆弱性のセキュリティ情報「MS11-073」を公表するとともに、セキュリティ更新プログラム(パッチ)を公開した。ただし2011年9月時点では、この脆弱性を悪用した攻撃は確認されていなかった。シマンテックによれば、今回報告した標的型攻撃が、この脆弱性を悪用する最初のケースだとしている。
実際の攻撃では、問題のWord文書とDLLファイルは、1つの圧縮ファイル(アーカイブファイル)として、メールで送られてくる可能性が高いという。
ユーザーが圧縮ファイルを展開すると、パソコンの同一フォルダー内に、Word文書とDLLファイルが生成される(図)。DLLファイルの実体はウイルス。Word文書にはウイルスは含まれていないが、前述の脆弱性を悪用する仕掛けが施されている。
このためWord文書を開くと、同じフォルダーのDLLファイルが実行され、ウイルスに感染する。ウイルスはこのDLLを削除し、「Thumbs.db」というファイルに置き換える。
この攻撃の“ポイント”は、一見安全に思えるWord文書を開くだけで、同時に送られてきた実行形式ファイル(DLLファイル)が実行されること。通常、DLLファイルがメールで送られてくることはない。このため同社では、特に理由がない限り、メールに添付されたDLLファイルには用心するよう呼びかけている。
加えて同社では、パッチをきちんと適用することも対策として推奨している。2011年9月に公開されたパッチを適用していれば、Word文書を開いても、問題のDLLファイルが実行されることはないからだ。Windowsの自動更新機能を有効にしていれば、同パッチは適用されている(初期設定では、自動更新機能は有効)。
