Wordにおけるゼロデイ脆弱性、McAfeeとFireEyeが注意喚起

　米McAfeeと米FireEyeは、Word文書におけるパッチ未提供の脆弱性を悪用した攻撃について報告し、信頼できない場所から取得したOfficeファイルを開かないことを推奨している。

　このゼロデイ脆弱性を悪用するWord文書のファイルは、拡張子が「.doc」のリッチテキストフォーマット（.RTF）ファイル。このファイルを開くと、攻撃者に制御されたリモートサーバーに接続し、HTMLアプリケーション（.HTA）ファイルをダウンロードして実行する。

　.HTAファイルでは、ウイルス対策ソフトの検出を回避して任意のコードが実行可能となってしまう。発見されたファイルは、.RTFファイルを偽装しているが、ファイルの後半には、Visual Basicスクリプトが含まれている。

　McAfeeによれば、この脆弱性を悪用した攻撃が成功した場合は、偽のポップアップが画面に表示され、バックグラウンドではマルウェアがインストールされるという。セキュリティが強化されているとするWindows 10で動作するOffice 2016の環境でも、この攻撃は無効化されないとのことだ。

　この脆弱性の原因として、アプリからほかの文書を開いたり、埋め込みを可能にするWindowsの「OLE（Object Linking and Embedding）」の機能が挙げられている。

　ただし、McAfeeによれば、この脆弱性を悪用したファイルによる攻撃は、Officeの「保護ビュー」では機能しないという。メールの添付ファイルやインターネットからダウンロードした文書の内容を確認する前に、安易に保護ビューを解除せず、通知に注意を払うようにしたい。