Microsoft 社、Word のゼロデイ脆弱性に関する警告を発表

3月 26, 2014 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by Paul Ducklin on March 25, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

~ブービートラップが仕掛けられた RTF ファイルを使用した攻撃~

Microsoft 社が Word に存在する実環境で悪用可能な脆弱性 (an in-the-wild exploitable vulnerability) に関する緊急のセキュリティアラートを発行しました。

最初の文で使用されているセキュリティ用語の意味は、次のとおりです。

  • A vulnerability is the flaw that caused the bug that could let crooks get in.
    脆弱性とは、攻撃者の侵入を許す危険性のある不具合の原因となった欠陥を指します。
  • An exploit is a way for the crooks to use a vulnerability in practice, and actually get in.
    攻撃コード (エクスプロイト) とは、攻撃者が実際に脆弱性を利用して侵入するための方法です。
  • In the wild means the crooks not only can get in, but are actively doing so already.
    実環境での攻撃とは、単に侵入が理論的に可能というだけでなく、攻撃者がすでに実際にこの問題を悪用していることを意味します。

深刻な状況に思えますが...実際に深刻です。

通常、マイクロソフト社の更新は月例パッチと呼ばれ、毎月第 2 火曜日に定期的に発表されています。

この方法は、攻撃コードの存在が確認されていない脆弱性、Microsoft 社内の研究者が検出した脆弱性、あるいは、個人が検出して、公になる前にマイクロソフト社が修正できるように通知した欠陥を修正するのには適しています。

マイクロソフト社には、作成したパッチがセキュリティリスクよりも深刻な問題を起したり、別のセキュリティホールを引き起こしたりしないか繰り返しテストする時間が与えられます。

また、IT チームは、サービス停止を最小限にとどめるパッチの適用方法を計画できます。

しかし、パッチが公開される前に攻撃コードが使用された場合、攻撃コードの出現前にパッチを適用できる日数がない、つまりゼロであることから、そのセキュリティホールはゼロデイ (zero-day) あるいはオーデイ (0-day) と呼ばれます。

ソフトウェアの脆弱性の多くは、容易には悪用できません。そのため、パッチが公開されてからしばらく経って適用したとしても、運が良ければ攻撃を免れることができます。

攻撃者は、脆弱性を実行可能な攻撃コードに変える (これを、脆弱性のweaponising (兵器化)と呼びます) 方法を見つけられない可能性もあります。

しかし、ゼロデイの場合にはすでに兵器化されています。

CVE-2014-1761 の脆弱性に関する最新のアラートがこれに該当します。マイクロソフト社の説明は次のとおりです。

Microsoft is aware of a vulnerability affecting supported versions of Microsoft Word. At this time, we are aware of limited, targeted attacks directed at Microsoft Word 2010. The vulnera­bility could allow remote code execution if a user opens a specially crafted RTF file using an affected version of Microsoft Word, or previews or opens a specially crafted RTF email message in Microsoft Outlook while using Microsoft Word as the email viewer. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user.
(引用文日本語訳) マイクロソフト社は、すべてのサポートされているバージョンの Microsoft Word に影響する脆弱性があることを確認しています。現時点で確認されているのは、Microsoft Word 2010 を標的とした限定的な攻撃です。特別に細工された RTF ファイルを、影響を受けるバージョンの Microsoft Word で開いた場合や、Microsoft Word を電子メール ビューアーとして使用していて、特別に細工された RTF の電子メール メッセージを Microsoft Outlook でプレビューするか開いた場合に、この脆弱性が原因でリモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。

ソフォス製品は、この脆弱性を悪用するブービートラップファイルを Exp/20141761-A として検出します。

上記の説明を聞く限り、この数年間広く使われてきた 2 つの Word の攻撃コード のように思われます。

この 2 つの攻撃コードは、それぞれ 2~4 年前から存在しており、識別番号は CVE-2010-3333CVE-2012-0158 です。

SophosLabs の研究者である Gabor Szappanos (Szappi) は先日、この 2 つの脆弱性の記録を分析した文書を発表 しました。どちらの脆弱性も、攻撃には通常マイクロソフト社が言うところの「特別に細工された RTF ファイル」が使用されています。調査の結果、興味深い現象が明らかになりました。

Szappi が注目したのは、上記の 2010 年と 2012 年の攻撃コードが当初、国家的スパイまたは産業スパイとして雇われたであろうハッカーによる情報収集目的の攻撃でのみ確認されていた点です。

しかし、この 1 年の間に変化が起き、金銭目的のサイバー犯罪者がボットやゾンビを使用して行う幅広い攻撃で頻繁に見られるようになっています。

そのような攻撃を受けるのを待つのではなく、今すぐに CVE-2014-1761 の問題を回避してください。

以下の手順を実行することで、RTF ファイルを介した攻撃を受ける危険性が低減されます。

1. RTF ファイルをゲートウェイで阻止します。

電子メールのゲートウェイにおいて、タイプ別または拡張子別に RTF ファイルを阻止するか隔離することを検討します。

ソフォスの Email Appliance および UTM 製品には、上記の機能が搭載されています。

2. Word で RTF ファイルを開かないようにします。

RTF コンテンツを開いたり表示したりする Word の機能を無効にするため、Microsoft 社の Fix it ソリューションの使用を検討します。

3. Microsoft 社の EMET を使用します。

Microsoft Office をサンドボックスに隔離して、悪用され難くするための手段として、Microsoft 社の Enhanced Mitigation Experience Toolkit (EMET) の使用を検討します。

EMET の使用によって、パッチが適用されていない脆弱性が攻撃されるのを未然に防ぐことができます。

4. 電子メールをテキスト形式に切り替えます。

Outlook を使用しているのであれば、電子メールをテキスト形式に変更する ことを検討します。

これにより、マーケティングメールやニュースレターなどの一部の電子メールが読み難くなります。

しかし、ブービートラップが仕掛けられたコンテンツを含む電子メールを表示する際のリスクが低減します。

なお、CVE-2014-1761 の恒久的な修正プログラムが公開されましたら、適用してください。また以前のCVE-2010-3333CVE-2012-0158 のパッチも適用し忘れていないか確認してください。

サイバー犯罪者がこれらのセキュリティホールを今も悪用しているという事実を考えると、以前のパッチを適用していないユーザーが多くいるようです。

パッチを全く適用していない場合も考えられますが、マイクロソフト社のセキュリティ更新を忠実に実行しようとするユーザーや IT 管理者であっても、適用していないパッチが 1~2 個があるのかもしれません。そして、サイバー犯罪者にこれらの適用していないパッチの問題が悪用されているかもしれません。

注: 2014-03-25T14:30Z に記事を更新 (Microsoft 社から現在公開されているのは、恒久的なパッチではなく、回避策にすぎないことを明記)。