最近、セキュリティ関連ブログの中では、サイバー攻撃やサイバースパイに関連した話題が目立つ。このところ話題になっているマルウエア「Duqu」もその一つ。最近では、米ウェブセンスがブログで取り上げた。

 ウェブセンスは、Duquで悪用される脆弱性(CVE-2011-3402)についてブログで解説した 。

 産業制御システムを狙ったマルウエア「Stuxnet」と同じグループによって作成されたと考えられているDuquが最初に見つかったときは、感染手口はいっこうに分からなかった。しかしハンガリーのCrySysがインストーラーを検出し、状況が変わった。インストーラーはMicrosoft Wordファイルで、WindowsのTrueTypeフォント解析エンジンに存在するゼロデイ脆弱性を利用することが分かった。

 攻撃者はこの脆弱性を利用して、カーネルモードで任意のコードを実行することができる。直接カーネルモードでコード実行することを許可してしまう脆弱性は大変まれで、攻撃者は全アクセス権を持つユーザーアカウントを新規に作成することが可能だ。米マイクロソフトはTrueTypeフォント解析に脆弱性があることを認め、セキュリティアドバイザリに詳細な情報を掲載し、この問題を修復するツールも提供している。またウェブセンスは、この脆弱性を悪用するファイルをダウンロードさせる不正サイトからユーザーを保護するために、マイクロソフトと協力している。

脆弱性(CVE-2011-3402)を突く不正ファイルのダウンロードを警告するメッセージ

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら