PDFファイルを使った攻撃、パッチ公開から24時間以内に出現

文:Ryan Naraine(Special to ZDNet.co.uk) 翻訳校正:編集部

2007-10-24 18:30

 Adobe Systemsが、Adobe ReaderやAcrobatといった同社製ソフトウェアに内在するセキュリティホール用のフィックスをリリースしてから24時間も経たないうちに、マルウェア付きのPDFファイルが電子メールのスパムフィルターに引っかかり始めた。

 この積極的な攻撃が発見された今、Windowsユーザーは、直ちに自分のコンピュータをスキャンして脆弱性のあるソフトウェアがないか確認し(デンマークのセキュリティ企業Secuniaが提供する無料サービス「Software Inspector」などがある)、すべての必要なパッチを適用する必要がある。

 セキュリティ企業SymantecのDeepSight Threat Management Systemチーム所属のアナリスト、Erik Kamerling氏によると、このメール媒介型の攻撃では、「mailto」オプションの脆弱性が利用されているという。この点は、Petko D. Petkov氏が9月に指摘しており、またAdobeも10月初めに認めている。

 Symantecは、このマルウェアファイルをTrojan.Pidief.Aと名付けた。Trojan.Pidief.Aは、コンピュータのセキュリティ設定を下げたり、感染したコンピュータにより多くの悪質な実行ファイルをダウンロードするのに利用される。Trojan.Pidief.Aは、スパムメールとしてばら撒かれ、添付ファイルには「BILL.pdf」や「INVOICE.pdf」などの名前が付されている。

 Kamerling氏によると、このファイルが実行されると、悪意あるコードが「netsh firewall set opmode mode=DISABLE」コマンドを使ってWindows Firewallを無効化し、81.95.146.130サーバからFTP経由でリモートファイルをダウンロードする(そのリモートファイルは「ldr.exe」で、中身はDownloader.Trojanだ)。

 米国東部標準時間午後4時現在、ホスト81.95.146.130は稼動しており、FTP経由で「ldr.exe」ファイルを供給し続けている。この81.95.146.130サーバは、悪意あるソフトウェアの供給元として知られている、とKamerling氏は警告する。

 SymantecのDeepSightチームは、ネットワーク管理者に以下の措置を講じるよう勧告している。

  • 電子メールによるPDFファイルの配信を阻止する
  • 未知の、あるいは信頼できない送信元から送られたPDFファイルを開かないよう従業員に勧告する
  • この攻撃に関連するネットワークやIPアドレスへのアクセスを遮断する
  • Adobe Advisory APSB07-18に列挙されているパッチを直ちに適用する

 iSIGHT Partnersのグローバルレスポンス担当ディレクター、Ken Dunham氏によると、攻撃者たちは2種類のルートキットファイルを使って、乗っ取ったコンピュータ内の財務情報などの貴重なデータを探し、盗み出しているという。これらのルートキットはWindowsディレクトリ内に「9129837.exe」や「new_drv.sys」という名前でインストールされる。

 「ウイルス検出プログラムは、この攻撃に関わるエクスプロイトファイルやペイロードにはあまりに無力だ。攻撃が行われている間にテストした39のアップデート済みプログラムのうち、(検出できたのは)平均してわずか26%だった」とDunham氏は語る。また同氏は、その2つの攻撃サーバが、悪名高いRussian Business Network(RBN)につながっていると指摘した。

 Dunham氏は、今回の攻撃と2006年9月に発生したVector Markup Language(VML)の脆弱性を狙ったゼロデイ攻撃との関連を発見した。「今回の攻撃で使用されたサーバは、過去に発生したアニメーションカーソルの脆弱性の悪用や、SnifulaやCoolWebSearchといったマルウェアのインストールに関連する他の悪意ある攻撃にも関与している」(Dunham氏)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]