PDFファイルを使った攻撃、パッチ公開から24時間以内に出現

文:Ryan Naraine(Special to ZDNet.co.uk) 翻訳校正:編集部

2007-10-24 18:30

 Adobe Systemsが、Adobe ReaderやAcrobatといった同社製ソフトウェアに内在するセキュリティホール用のフィックスをリリースしてから24時間も経たないうちに、マルウェア付きのPDFファイルが電子メールのスパムフィルターに引っかかり始めた。

 この積極的な攻撃が発見された今、Windowsユーザーは、直ちに自分のコンピュータをスキャンして脆弱性のあるソフトウェアがないか確認し(デンマークのセキュリティ企業Secuniaが提供する無料サービス「Software Inspector」などがある)、すべての必要なパッチを適用する必要がある。

 セキュリティ企業SymantecのDeepSight Threat Management Systemチーム所属のアナリスト、Erik Kamerling氏によると、このメール媒介型の攻撃では、「mailto」オプションの脆弱性が利用されているという。この点は、Petko D. Petkov氏が9月に指摘しており、またAdobeも10月初めに認めている。

 Symantecは、このマルウェアファイルをTrojan.Pidief.Aと名付けた。Trojan.Pidief.Aは、コンピュータのセキュリティ設定を下げたり、感染したコンピュータにより多くの悪質な実行ファイルをダウンロードするのに利用される。Trojan.Pidief.Aは、スパムメールとしてばら撒かれ、添付ファイルには「BILL.pdf」や「INVOICE.pdf」などの名前が付されている。

 Kamerling氏によると、このファイルが実行されると、悪意あるコードが「netsh firewall set opmode mode=DISABLE」コマンドを使ってWindows Firewallを無効化し、81.95.146.130サーバからFTP経由でリモートファイルをダウンロードする(そのリモートファイルは「ldr.exe」で、中身はDownloader.Trojanだ)。

 米国東部標準時間午後4時現在、ホスト81.95.146.130は稼動しており、FTP経由で「ldr.exe」ファイルを供給し続けている。この81.95.146.130サーバは、悪意あるソフトウェアの供給元として知られている、とKamerling氏は警告する。

 SymantecのDeepSightチームは、ネットワーク管理者に以下の措置を講じるよう勧告している。

  • 電子メールによるPDFファイルの配信を阻止する
  • 未知の、あるいは信頼できない送信元から送られたPDFファイルを開かないよう従業員に勧告する
  • この攻撃に関連するネットワークやIPアドレスへのアクセスを遮断する
  • Adobe Advisory APSB07-18に列挙されているパッチを直ちに適用する

 iSIGHT Partnersのグローバルレスポンス担当ディレクター、Ken Dunham氏によると、攻撃者たちは2種類のルートキットファイルを使って、乗っ取ったコンピュータ内の財務情報などの貴重なデータを探し、盗み出しているという。これらのルートキットはWindowsディレクトリ内に「9129837.exe」や「new_drv.sys」という名前でインストールされる。

 「ウイルス検出プログラムは、この攻撃に関わるエクスプロイトファイルやペイロードにはあまりに無力だ。攻撃が行われている間にテストした39のアップデート済みプログラムのうち、(検出できたのは)平均してわずか26%だった」とDunham氏は語る。また同氏は、その2つの攻撃サーバが、悪名高いRussian Business Network(RBN)につながっていると指摘した。

 Dunham氏は、今回の攻撃と2006年9月に発生したVector Markup Language(VML)の脆弱性を狙ったゼロデイ攻撃との関連を発見した。「今回の攻撃で使用されたサーバは、過去に発生したアニメーションカーソルの脆弱性の悪用や、SnifulaやCoolWebSearchといったマルウェアのインストールに関連する他の悪意ある攻撃にも関与している」(Dunham氏)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]