「一太郎」の脆弱性は、ゼロデイ標的型攻撃で1月中旬より悪用確認

　株式会社シマンテックは26日、ワープロソフト「一太郎」のゼロデイ脆弱性を突く標的型攻撃が1月中旬に確認されていたことを明らかにした。この脆弱性の存在については同日、株式会社ジャストシステムが公表するとともに、これを修正するアップデートモジュールを公開し、ユーザーに対して適用するよう強く推奨している。

　シマンテックによると、この攻撃は、メールの添付ファイルとして送られてくる圧縮ファイルにより行われる。これには、1）正常な一太郎の.jtd文書ファイル、2）改変され、隠しファイル属性が設定されたJSMISC32.DLLファイル、3）隠しファイル属性が設定され、.jtd拡張子の付いた悪質なDLLファイル――の3つのファイルが含まれている。

　一太郎の文書ファイルが開かれると、一太郎はJSMISC32.DLLを検索するが、このDLLは通常、インストールパスかシステムディレクトリにあるという。これに対して今回の攻撃では、正常な一太郎文書ファイルを開くと、同じディレクトリにあるJSMISC32.DLLがまず実行され、次に.jtd拡張子の付いた悪質なDLLファイルがロードされる流れ。

圧縮ファイルに含まれているファイル（シマンテック公式ブログより画像転載）

　シマンテックがこれまでに確認した攻撃は10件未満。1月16日以降、限定的ではあるが、断続的に攻撃が確認されているという。一太郎ということで、被害も日本のユーザーに限られているとしている。シマンテック製品ではこの圧縮ファイルを「Bloodhound.Exploit.489」として検出することで対応している。

　ジャストシステムでは、一太郎のほか、総合グラフィックソフト「花子」にも脆弱性があったとしてアップデートモジュールを公開しているが、一太郎・花子とも26日時点でアップデートモジュールが提供されたのは、影響を受ける新旧バージョンのうち比較的新しい製品のみとなっている。旧バージョンについては追ってアップデートモジュールが提供される予定だ。

　ジャストシステムは、一太郎・花子のユーザーに対して、アップデートモジュールの適用の有無にかかわらず、身に覚えのないメールに添付されている一太郎・花子の文書ファイルや、信頼性が保証されないウェブサイトなどにある出所不明な一太郎・花子の文書ファイルを開かないように注意を呼び掛けている。