IPA、MS Officeの脆弱性を悪用する標的型攻撃を国内で確認

　独立行政法人情報処理推進機構（以下IPA）は、Microsoft Officeなどにおける脆弱性を悪用する、国内組織に対する標的型攻撃の事例を確認したと発表。Microsoft社から修正プログラムが提供されるまでの回避策の実施を呼びかけている。

　脆弱性は、11月5日（米国時間）に米Microsoftが発表したTIFF画像ファイルの処理に起因するもので、脆弱性の影響を受けるソフトウェアは、Windows Vista、Windows Server 2008、Office 2003/2007/2010、Office 互換機能パック、Lync 2010/2013、Lync Basic 2013。

　細工を施したTIFF画像ファイルを開いたり、それを含むWebコンテンツの閲覧やメールのプレビュー・開封をすることで、攻撃者はリモートでコードの実行が可能になるという。攻撃に成功すると、ログインしているユーザーと同等の権限が攻撃者に取得されてしまうおそれがある。

　Microsoftが公表した11月5日の時点で、すでにMicrosoftではこの脆弱性を悪用した標的型攻撃として、細工されたWordファイルをメール添付で送られてくる事例が、中東や南アジアの広い範囲で確認していた。今回、国内でもこの脆弱性を悪用する標的型攻撃の事例が確認されたもの。

　IPAで確認した事例では、以下のような特徴が認められた。

（1）当該攻撃メールの件名、本文、添付ファイル名には日本語が使われていた。
（2）添付ファイル名は「履歴書.zip」となっており、圧縮を解凍して中のWord文書ファイルを開くと脆弱性が悪用され、PCがマルウェアに感染する仕組みとなっていた。
（3）業務上、添付ファイルを開いて内容を確認する必要がある、組織外向けの問い合わせ窓口へのメールを装うという手口が使われていた。

確認された攻撃事例のイメージ

　Microsoftではこの脆弱性についてすでに調査を進めており、必要に応じて、定例または定例外のセキュリティ修正パッチでの対応も行うとしているが、11月20日現在では修正パッチは配布されていない。

　パッチ提供までの暫定的対策として、Microsoftでは、TIFFコーデックを無効化する「Fix it」の適用や、 Enhanced Mitigation Experience Toolkit（EMET）を使用することを挙げており、今回IPAでも使用を推奨している。ただし、「Fix it」を適用すると、TIFF画像が表示されなくなるので注意が必要だ。

　なお、Microsoftでは、最新バージョンであるWindows 8.1/8、Windows RT 8.1/RT、Windows Server 2012/2012 R2、Office 2013/2013 RTのほか、Windows 7/XP、Windows Server 2008 R2/2003などはこの脆弱性の影響を受けないとしている。