Adobe Systemsが、Adobe ReaderやAcrobatといった同社製ソフトウェアに内在するセキュリティホール用のフィックスをリリースしてから24時間も経たないうちに、マルウェア付きのPDFファイルが電子メールのスパムフィルターに引っかかり始めた。
この積極的な攻撃が発見された今、Windowsユーザーは、直ちに自分のコンピュータをスキャンして脆弱性のあるソフトウェアがないか確認し(デンマークのセキュリティ企業Secuniaが提供する無料サービス「Software Inspector」などがある)、すべての必要なパッチを適用する必要がある。
セキュリティ企業SymantecのDeepSight Threat Management Systemチーム所属のアナリスト、Erik Kamerling氏によると、このメール媒介型の攻撃では、「mailto」オプションの脆弱性が利用されているという。この点は、Petko D. Petkov氏が9月に指摘しており、またAdobeも10月初めに認めている。
Symantecは、このマルウェアファイルをTrojan.Pidief.Aと名付けた。Trojan.Pidief.Aは、コンピュータのセキュリティ設定を下げたり、感染したコンピュータにより多くの悪質な実行ファイルをダウンロードするのに利用される。Trojan.Pidief.Aは、スパムメールとしてばら撒かれ、添付ファイルには「BILL.pdf」や「INVOICE.pdf」などの名前が付されている。
Kamerling氏によると、このファイルが実行されると、悪意あるコードが「netsh firewall set opmode mode=DISABLE」コマンドを使ってWindows Firewallを無効化し、81.95.146.130サーバからFTP経由でリモートファイルをダウンロードする(そのリモートファイルは「ldr.exe」で、中身はDownloader.Trojanだ)。
米国東部標準時間午後4時現在、ホスト81.95.146.130は稼動しており、FTP経由で「ldr.exe」ファイルを供給し続けている。この81.95.146.130サーバは、悪意あるソフトウェアの供給元として知られている、とKamerling氏は警告する。
SymantecのDeepSightチームは、ネットワーク管理者に以下の措置を講じるよう勧告している。
- 電子メールによるPDFファイルの配信を阻止する
- 未知の、あるいは信頼できない送信元から送られたPDFファイルを開かないよう従業員に勧告する
- この攻撃に関連するネットワークやIPアドレスへのアクセスを遮断する
- Adobe Advisory APSB07-18に列挙されているパッチを直ちに適用する
iSIGHT Partnersのグローバルレスポンス担当ディレクター、Ken Dunham氏によると、攻撃者たちは2種類のルートキットファイルを使って、乗っ取ったコンピュータ内の財務情報などの貴重なデータを探し、盗み出しているという。これらのルートキットはWindowsディレクトリ内に「9129837.exe」や「new_drv.sys」という名前でインストールされる。
「ウイルス検出プログラムは、この攻撃に関わるエクスプロイトファイルやペイロードにはあまりに無力だ。攻撃が行われている間にテストした39のアップデート済みプログラムのうち、(検出できたのは)平均してわずか26%だった」とDunham氏は語る。また同氏は、その2つの攻撃サーバが、悪名高いRussian Business Network(RBN)につながっていると指摘した。
Dunham氏は、今回の攻撃と2006年9月に発生したVector Markup Language(VML)の脆弱性を狙ったゼロデイ攻撃との関連を発見した。「今回の攻撃で使用されたサーバは、過去に発生したアニメーションカーソルの脆弱性の悪用や、SnifulaやCoolWebSearchといったマルウェアのインストールに関連する他の悪意ある攻撃にも関与している」(Dunham氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ