ニュース

「一太郎」にゼロデイ攻撃、日本が標的の「CloudyOmega攻撃」が今年になって活発化

ユーザーはセキュリティ更新モジュール適用を

 株式会社ジャストシステムは13日、ワープロソフト「一太郎」シリーズに見つかった脆弱性を修正するためのアップデートモジュールを公開した。この脆弱性は、細工を施された文書ファイルを開いた際に任意のコードが実行され、遠隔の第三者によってPCが乗っ取られてしまう可能性があるもの。数年前から発生している一連の「CloudyOmega攻撃」において、この脆弱性を突く手口が最近になって新たに確認された。

【お詫びと訂正 2014/11/14 14:40】
 記事初出時、記事タイトルならびに本文において、今回見つかった一太郎の脆弱性へのゼロデイ攻撃が数年にわたって行われていたものと説明しておりましたが、これは誤りです。CloudyOmega攻撃の初期の手口は他のソフトの脆弱性を悪用したもので、今回の一太郎の脆弱性を悪用する攻撃が発生したのは今年11月に入ってからとなります。お詫びして訂正いたします。

標的の業種と攻撃件数の推移(シマンテック公式ブログより)

 株式会社シマンテックによれば、今回公表された一太郎の脆弱性は、日本の組織を標的とした攻撃で活発に悪用されているという。脆弱性を悪用した一太郎の文書ファイルを、メールの添付ファイルとして標的組織に送信。これを開いてしまうと、文書が表示される裏で不正プログラムが投下される仕組みだ。一太郎をクラッシュさせることなく行われるため、被害者はバックグランドで実際に起こっていることに気が付かないとしている。

 シマンテックでは、CloudyOmega攻撃で標的となった組織の業種ごとの攻撃件数の推移グラフを公開した。最初の攻撃は少なくとも2011年までさかのぼり、同年は日本の化学業界の組織で1件発生していた。ただし、初期には攻撃が非常に慎重に実行されていたという。その後、公的機関(米国も含む)などにも範囲を広げたものの、2013年までの攻撃件数は累計9件と少数にとどまっており、それが2014年に一気に活発化。特に日本の公的機関では、2014年に49件に上っている。

 なお、以前のCloudyOmega攻撃では、Flash Playerの脆弱性が悪用されたが、今年11月に入って、一太郎のゼロデイ脆弱性が悪用される攻撃が登場したという。

 また、前述のように感染経路は主にメールだとしており、シマンテックではその例として、健康保険組合運営事務局からの医療費の通知を装ったメールを挙げている。

攻撃に使用されたメールの例(シマンテック公式ブログより)

 一方、トレンドマイクロ株式会社によると、同社では今年11月6日以降、この脆弱性を悪用する攻撃ファイルを5種類以上確認しているという。解析の結果、それらすべてのケースで、遠隔操作ツール(RAT)である「EMDIVI」や「PLUGX」の亜種がPC内に侵入することが判明。標的のPCにRATを侵入させ、外部からの遠隔操作を可能にしようとする標的型サイバー攻撃とみている。

攻撃ファイルを開いた際に表示される一太郎の画面例(トレンドマイクロ公式ブログより)
攻撃ファイルを開いた際にインストールされるRATのファイル例(トレンドマイクロ公式ブログより)

 脆弱性の影響を受ける一太郎製品のバージョンは「2008」「2009」「2010」「2011」「2011 創」「2012 承」「2013 玄」「2014 徹」「ガバメント2008」「ガバメント2009」「ガバメント2010」「Government 6」「Government 7」「Pro」「Pro 2」で、一太郎共通セキュリティ更新モジュールを適用する必要がある。このほか、体験版の「2014 徹 体験版」「Pro 2 体験版」を使用している場合は、これらをいったんアンインストールした上で最新版をダウンロードする必要がある。

 また、ジャストシステムでは、これらアップデートモジュール適用の有無にかかわらず、 身に覚えのないメールに添付されている一太郎の文書ファイルや、信頼性が保証されていないウェブサイトなどにある出所不明な一太郎の文書ファイルを開かないよう注意を呼び掛けている。

(永沢 茂)