「セキュリティの王道をきちんとやっていく」--マイクロソフト - (page 2)

小山安博 2007年11月30日 13時29分

  • このエントリーをはてなブックマークに追加
  • 印刷

 今回の攻撃は、主にメールに添付された、不正に改造されたPowerPoint文書を開いてしまうと、文書内のEXEファイルが出力された上で実行され、バックドアが仕掛けられるというもの。実際にこれを使った攻撃が行われたもので、小野寺氏は攻撃が実行される様子を動画で示しつつ説明した。

 さて、今回の攻撃はPowerPointの脆弱性を利用したものだ。「PowerPointが文書の要素の解析でいろいろ間違っていて、バイナリを実行するスキがあった」(小野寺氏)という脆弱性だが、そもそもこの脆弱性の背景には、PowerPoint(というよりもOffice)のフォーマットに問題があった。

 Office 2003以前に使われていた.doc、.xls、.pptなどといったバイナリ形式のフォーマットは、「ほぼ(ファイルシステムの)FAT」(同)であるOLE構造化記憶を基本とし、ファイルのヘッダにそれぞれのデータがどこにあるか記録され、それを元にデータブロックを探す、という仕組みで、FATテーブル、セクター、ストリームで構成された複雑なフォーマットだった。

 問題は、テキストデータであろうとバイナリであろうと、ストリームの中にあらゆるものを入れることができた点で、不正なEXEファイルをPowerPoint文書の中に挿入する、といったことが可能だった。とはいえ、本来はPowerPoint文書からEXEファイルを実行することはできないのだが、脆弱性によってストリームを呼び出して実行できてしまった、というのが今回の問題だ。

攻撃ファイルの中身 問題のPowerPointファイル。詳しい人ならば一見して分かるように、cmd、update.exeといった不審なものが多い

 これをふまえた上で、実際の攻撃はどのようにして行われたのだろうか。Windows XP SP2+Office 2003 SP2(脆弱性あり)の環境で、攻撃に使われたPowerPointファイルをダブルクリックで開いてみると、一瞬PowerPointの画面が立ち上がってすぐに消え、その後、改めてPowerPointファイルが開かれる、という不思議な動作をする。最終的には正常なPowerPoint文書が表示されるため気づきにくいが、このときすでに攻撃が成功してしまっているのだ。

 実際には、最初のPowerPoint文書が開かれた時点でcmd.exeが起動され、ファイル内部に挿入されていたupdate.exeがデスクトップに出力されていた。update.exeは.logという拡張子に偽装したEXEファイルをtempフォルダに作成、実行する。.logに偽装したEXEファイルは、2つのバイナリをsystem32フォルダに出力、さらにローカルマシンのレジストリ(HKLM)を変更する。作成されたバイナリはシステムプロセスのWinlogon.exeの子プロセスに挿入される。最終的にupdate.exeは自身を消去する――というのが一連の動作となる。悪意のあるバイナリがWinlogon.exeとして動作するため、通常では発見しにくくなっているというわけだ。

実際のプロセス 実際のプロセス。PowerPoint.exeの下にcmd.exe、update.exe、…….logファイルがある

 こうした攻撃に対して、マイクロソフトはどう対処したのか。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]