シマンテックは15日、同社のセキュリティレスポンスブログ日本語版において、ジャストシステムが11月12日に発表した日本語ワープロソフト「一太郎」の脆弱性、および修正パッチに関する情報を発信。ゼロデイ攻撃が発生していたことを明らかにし、修正パッチの迅速な適用を呼びかけている。
一太郎の脆弱性は、細工を施した「一太郎」シリーズの文書ファイルを開くだけで、悪意あるプログラムが実行される危険性があるというもの。ジャストシステムでは、脆弱性の公開と同時にアップデートモジュール(修正パッチ)を提供している。
シマンテックによると、この脆弱性を狙ったゼロデイ攻撃が発生していることを、2013年9月に確認。ただしその時点で、シマンテックのテスト環境では攻撃が機能せず、システムに侵入されることはなかったという。
攻撃に使われるマルウェアは「Trojan.Mdropper」として検出され、さらに検出名「Backdoor.Vidgrab」を含む。攻撃が成功すると、システムにバックドアが仕込まれ、リモートサイトに接続。同時に、Internet Explorerの脆弱性を突く亜種が「水飲み場型攻撃」の運び屋として使われる。この「Internet Explorerの脆弱性」は、Microsoftのセキュリティアドバイザリで公開、2013年10月に修正パッチが公開済みだ。
一太郎を狙うマルウェア「Trojan.Mdropper」がメール添付で送り付けられる場合、メールの件名と本文が(よくある標的型攻撃と比べて)特徴的だという。シマンテックが一例としてブログで公開している攻撃メールは、日本で有名なショッピングサイトをかたり、オトク情報に見せかけて添付ファイルを開かせようとする。
シマンテックは、「類似の標的を執拗に狙って、一太郎の悪用を試みている」、「今回の攻撃は、マルウェアグループがより効果的な攻撃方法(メールの件名や本文など)を見つけるための前哨戦(テスト)の可能性もある」と述べている。詳細はシマンテックのセキュリティレスポンスブログ日本語版を参照いただきたい。また、一太郎シリーズのユーザーは、ジャストシステムが提供している修正パッチをすみやかに適用すべきだ。