トレンドマイクロ、11日に一太郎に対するゼロデイ攻撃を確認

トレンドマイクロは、ワープロソフト「一太郎」に対するゼロデイ攻撃を3月11日に確認したことを明らかにした。

同社研究機関であるリージョナルトレンドラボが、3月11日に一太郎シリーズの脆弱性を攻撃対象としたトロイの木馬「TROJ_TARODROP.BA」について報告を受けたもの。攻撃発生当時は未対策の脆弱性だったが、ジャストシステムでは16日にアップデータを公開している。

問題のトロイの木馬は、ファイル名が日本語で出回っており、ウェブやメール経由により広がっていると見られている。感染した場合、情報漏洩など引き起こす「TROJ_AGENT.KLQW」がダウンロードされるという。

「TROJ_AGENT.KLQW」は、ファイルのタイムスタンプを正常なシステムファイルと同期することにより、フォレンジックによる検体採取を妨害するほか、ネットワークの接続環境を確認するため「download.windowsupdate.com」に接続するなど、感染を悟られないよう行動するのが特徴となっている。

さらにネット接続が確認された場合、URLリクエストに見せかけて内部のデータを外部へ送信。データを取得するサーバは、当初米国に設置されていたが、その後韓国へ変化した。データ送信後は不正プログラムをダウンロードするようプログラムされているが、15日の時点で接続はできない状態になっているという。

（Security NEXT - 2009/03/16 ） ツイート

PR

関連記事

「一太郎」「JUST Office」などジャストシステム製品に複数脆弱性
「一太郎Pro」「ATOK」など法人向けジャストシステム製品の同梱プログラムに脆弱性
ジャストシステムの「楽々はがき」に脆弱性 - 一太郎にも影響
一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認
「一太郎」に深刻な脆弱性、セキュリティ更新が公開
ジャストシステムのアップデートプログラムに深刻な脆弱性 - 多数製品に同梱
一太郎の脆弱性を狙った攻撃が本格化 - 攻撃対象となる組織も拡大
一太郎シリーズに深刻な脆弱性 - 修正用のアップデートが公開
「一太郎」シリーズにコード実行の脆弱性 - アップデートモジュール適用を
「一太郎」に対するゼロデイ攻撃が発生中 - 不正DLLを読み込ませる手口