［米国］
「Word」を標的としたトロイの木馬プログラムが登場

（2006年05月22日）

　「Microsoft Word」を利用している人は、ダウンロードするファイルに格段の注意を払う必要がある。人気の高いこの製品には、パッチの当てられていない脆弱個所があり、ハッカーたちがそれにつけ込もうとしているからだ。

　セキュリティ・ベンダーの米国マカフィーは5月18日、新しいトロイの木馬プログラム「BackDoor-CKB!cfaae1e6」に関する警告を発表した。同プログラムは、ハッカーがユーザーをだまして不正なWord文書を開かせないかぎり機能しない。しかし、ひとたびファイルが開かれると、その被害は重大なものになるという。

　ウイルスやワームと異なり、トロイの木馬プログラムは自動的にコピーを作成し、インターネット上で増殖し続けるようなことはない。したがって、ハッカーはプログラムを直接配信する必要があり、有益あるいは興味深いダウンロード・プログラムと偽って送信されることが多い。

　マカフィーの説明によると、BackDoor-CKB!cfaae1e6は、いったんインストールされると、ハッカー側で「各種外部コマンドの実行、トロイの木馬プログラムの追加ダウンロード、デスクトップ・スクリーン・ショットの取り込み、キーストロークやパスワードの監視および記録」などが可能になるという。

　米国シマンテックも、不正なWord文書を電子メールに添付するかたちで同プログラムを広めようとしているハッカーが存在することを確認しているが、同社の脅威分析サービス「DeepSight」によると、現在のところ、同プログラムの利用は「特定のターゲットに対する攻撃に限られている」という。

　シマンテックによると、同プログラムを使った攻撃はアジア地域が起点となっており、ターゲットは「特定の大手企業」だという。同様のターゲットに対する攻撃は、過去にも行われたことがあり、その際にはMicrosoft Officeアプリケーションの不具合が利用された。

　米国SANSインスティチュートのインターネット・ストーム・センターの最高リサーチ責任者、ヨハネス・ウルリッチ氏は、「BackDoor-CKB!cfaae1e6を利用する攻撃者は、中国か台湾で活動している可能性が高い」と指摘している。というのも、この攻撃に関係しているサーバを追跡していくと、これらの国に到達するうえ、不正なWord文書の中に中国語の文字が見つかっているからだ（参照ページ）。

　SANSに攻撃の詳細を報告した政府関係の下請け企業によると、不正な電子メールは、組織内のある特定の人物あてに送られており、あたかも通常の社内メッセージのような内容が書かれているという。

　ウルリッチ氏は、「非常に洗練された手法だ。ターゲットとなった企業で使われていたアンチウイルス・システムは、このプログラムをとらえることができなかった」と語っている。

　同氏によると、攻撃側の最終的な目的は不明だが、いったんトロイの木馬プログラムをインストールしてしまうと、遠隔からデータの探索や、不正なソフトウェアのインストールなどが行われる危険が高まるという。

　SANSでは、このタイプの攻撃を避けるためのさまざまなヒントを紹介しており、企業に対しては、ユーザーの権限を制限するとともに、社外に向かうトラフィックを監視するよう勧めている。またSANSは、アンチウイルス・ベンダーが新たな脅威に対処するための時間を稼ぐために、6時間から12時間、すべての添付ファイルを隔離することも検討するよう勧めている（参照ページ）。

　BackDoor-CKB!cfaae1e6は、ダウンロードしなければ感染しないため、このリスクに対するマカフィーの格付けは「低」になっている。

　米国マイクロソフトによると、今回指摘された脆弱個所は、「Microsoft Word XP」と「Word 2003」に関係するが、WordをインストールせずにWord文書を見られるようにする「Word Viewer」を使用するコンピュータには影響しないという。

　マイクロソフトでは、Wordの脆弱個所に対応する修正プログラムのテストが行われており、月次セキュリティ・パッチの次回リリース（6月13日になる予定）に組み込まれる見通しとしている（参照ページ）。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)