PDFファイルを使った攻撃、パッチ公開から24時間以内に出現

文:Ryan Naraine(Special to ZDNet.co.uk) 翻訳校正:編集部 2007年10月24日 18時30分

  • このエントリーをはてなブックマークに追加

 Adobe Systemsが、Adobe ReaderやAcrobatといった同社製ソフトウェアに内在するセキュリティホール用のフィックスをリリースしてから24時間も経たないうちに、マルウェア付きのPDFファイルが電子メールのスパムフィルターに引っかかり始めた。

 この積極的な攻撃が発見された今、Windowsユーザーは、直ちに自分のコンピュータをスキャンして脆弱性のあるソフトウェアがないか確認し(デンマークのセキュリティ企業Secuniaが提供する無料サービス「Software Inspector」などがある)、すべての必要なパッチを適用する必要がある。

 セキュリティ企業SymantecのDeepSight Threat Management Systemチーム所属のアナリスト、Erik Kamerling氏によると、このメール媒介型の攻撃では、「mailto」オプションの脆弱性が利用されているという。この点は、Petko D. Petkov氏が9月に指摘しており、またAdobeも10月初めに認めている。

 Symantecは、このマルウェアファイルをTrojan.Pidief.Aと名付けた。Trojan.Pidief.Aは、コンピュータのセキュリティ設定を下げたり、感染したコンピュータにより多くの悪質な実行ファイルをダウンロードするのに利用される。Trojan.Pidief.Aは、スパムメールとしてばら撒かれ、添付ファイルには「BILL.pdf」や「INVOICE.pdf」などの名前が付されている。

 Kamerling氏によると、このファイルが実行されると、悪意あるコードが「netsh firewall set opmode mode=DISABLE」コマンドを使ってWindows Firewallを無効化し、81.95.146.130サーバからFTP経由でリモートファイルをダウンロードする(そのリモートファイルは「ldr.exe」で、中身はDownloader.Trojanだ)。

 米国東部標準時間午後4時現在、ホスト81.95.146.130は稼動しており、FTP経由で「ldr.exe」ファイルを供給し続けている。この81.95.146.130サーバは、悪意あるソフトウェアの供給元として知られている、とKamerling氏は警告する。

 SymantecのDeepSightチームは、ネットワーク管理者に以下の措置を講じるよう勧告している。

  • 電子メールによるPDFファイルの配信を阻止する
  • 未知の、あるいは信頼できない送信元から送られたPDFファイルを開かないよう従業員に勧告する
  • この攻撃に関連するネットワークやIPアドレスへのアクセスを遮断する
  • Adobe Advisory APSB07-18に列挙されているパッチを直ちに適用する

 iSIGHT Partnersのグローバルレスポンス担当ディレクター、Ken Dunham氏によると、攻撃者たちは2種類のルートキットファイルを使って、乗っ取ったコンピュータ内の財務情報などの貴重なデータを探し、盗み出しているという。これらのルートキットはWindowsディレクトリ内に「9129837.exe」や「new_drv.sys」という名前でインストールされる。

 「ウイルス検出プログラムは、この攻撃に関わるエクスプロイトファイルやペイロードにはあまりに無力だ。攻撃が行われている間にテストした39のアップデート済みプログラムのうち、(検出できたのは)平均してわずか26%だった」とDunham氏は語る。また同氏は、その2つの攻撃サーバが、悪名高いRussian Business Network(RBN)につながっていると指摘した。

 Dunham氏は、今回の攻撃と2006年9月に発生したVector Markup Language(VML)の脆弱性を狙ったゼロデイ攻撃との関連を発見した。「今回の攻撃で使用されたサーバは、過去に発生したアニメーションカーソルの脆弱性の悪用や、SnifulaやCoolWebSearchといったマルウェアのインストールに関連する他の悪意ある攻撃にも関与している」(Dunham氏)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化