「ゼロデイ攻撃」の北京五輪ウイルス

　マイクロソフト「ワード」を狙ったウイルスが出回っている。ソフトウエアの弱点である脆弱性を突くもので、修正ファイルが出る前の間隙を突いた「ゼロデイ攻撃」だ。北京オリンピックの関連ファイルに見せかけるウイルスメールもあるので注意が必要だ。（テクニカルライター・三上洋）

北京五輪と「ゼロデイ攻撃」

　大きなイベントや事件があると、必ずといっていいほど関連したネタでだますスパム（迷惑メール）が登場する。北京オリンピックについてもそうで、以前の記事「北京五輪ウイルスの攻撃が始まる」でも取り上げたように、オリンピックに関連したウイルス付きメールが出回っていた。

　今回新たに発見されたウイルス付きメールは、危険度がもっとも高いものだ。というのは、多くの人が使っているマイクロソフト「ワード」の脆弱性（ソフトの弱点のこと）を利用しているため。対象となるのは「ワード2002」のSP3というバージョンで、7月上旬現在で脆弱性は修正されていない。マイクロソフトが次回の修正パッチを配布するまで、無防備のままとなっている。いわゆる「ゼロデイ攻撃」と呼ばれるものだ。

　マイクロソフトでは「この脆弱性があるのは「ワード2002」のSP3。ただしワード2000でも特別な細工がされた文書ファイルを開いた場合、予期せずに終了する可能性がある」としている。「ワード2002」のSP3以外を使っているユーザーも警戒したほうがよさそうだ。

パソコンに進入し勝手にプログラムを実行

　セキュリティー大手のトレンドマイクロによれば、今回のウイルスメールは以下のようなファイル名で出回っている。

「attachment.doc 」
「appeal_letter_of_fttj.doc」
「attend_the_opening_ceremony_of_the_29th_olympic_games_in_beijing.doc」
「five_resolutions.doc」
「lingotto_con_fiat.doc」

　3つ目が北京オリンピック関連を思わせるファイルだ。これらのファイルを開いたのが右の画像で、表の罫線を書いた何の変哲もない文書ファイルとなっている。しかしワードの脆弱性を突くコードが含まれているため、裏ではトロイの木馬に感染してしまうのだ。

　このトロイの木馬は、トレンドマイクロでの名称で「TROJ_MDROPPER.ZT（エムドロッパー・ゼットティー）」と呼ばれるもの。パソコンのシステムに入り込み、外部から自由にプログラムを実行できるようになってしまう。トレンドマイクロによれば「これだけでは被害は出ないが、ダウンローダーなどの不正なプログラムと合わせて使われると危険。ほかのウイルスやトロイの木馬を仕込まれてしまう可能性が高い」とのことだ。

北京五輪関連のほかのスパムも出回る

　このほかにも北京五輪関連のウイルス付きメールが出回っている。トレンドマイクロによれば、チベット問題でオリンピックのボイコットを呼びかけるメールもある。パワーポイントのファイルが添付されており、開くとこの画像のようにボイコットを呼びかける画像が表示される。マイクロソフト社のオフィス「パワーポイント」の脆弱性を突いて、トロイの木馬を仕込もうとするものだ。この脆弱性が「ゼロデイ攻撃」かどうかはわかっていない。

　北京五輪まであと約1か月。トレンドマイクロでは「今後さらにオリンピック関連のウイルス付きメールが増える可能性がある。日本語メールが登場することも考えられるので十分警戒してほしい」と呼びかけている。

　これらのウイルスへの対策は、まず知らない人からのメール添付ファイルを開かないこと。そしてマイクロソフトからパッチ（修正ファイル）が出たら、すみやかに修正することが大切だ。なお今回のトロイの木馬は、「ウイルスバスター」などの対策ソフトで検知できる。ただし自動駆除はできず「隔離しました」という表示になる。もし万が一ファイルを開いてしまった場合は、対策ソフトの表示に従って手動で駆除しよう。

●参考記事

Microsoft Wordの脆弱性（CVE-2008-2244）を悪用した「TROJ_MDROPPER」の脅威（トレンドマイクロ・セキュリティブログ）