ブラウザプラグインにも要注意

一太郎の脆弱性、リンクのクリックだけで悪用される可能性も

2007/10/26

 ジャストシステムは10月25日、ワープロソフト「一太郎」シリーズに脆弱性が存在することを明らかにし、修正用のモジュールを公開した。

 影響を受けるのは「一太郎2007/2006/2005/2004/13/12/11」のほか、「一太郎ガバメント2007/2006/2005」「一太郎2007体験版」「一太郎 文藝」「一太郎Lite2」など。「一太郎ビューア」とLinux版の「一太郎 for Linux」にも脆弱性が存在する。

 脆弱性は全部で3種類ある。「JSTARO4.OCX」に2種類、「TJSVDA.DLL」に1種類のバッファオーバーフローの脆弱性が存在し、細工を施したリッチテキストファイルを開くと、攻撃者が仕込んだ任意のコードが実行される恐れがある。この結果、ウイルスやボットに感染したり、システムを破壊される可能性もある。

 セキュリティ企業のフォティーンフォティ技術研究所では、これら脆弱性の深刻度を3段階中で最も高い「High」と評価している。

 脆弱性を発見した同社のCTO、鵜飼裕司氏によると、これらは、過去にゼロデイ攻撃に悪用された一太郎の脆弱性と同程度か、それ以上の脅威レベルだという。いずれもスタックベースのバッファオーバーフローであり、悪用コード(Exploit)作成にそれほど高い技術は必要とされない。仮に適切にExploitが作成されれば、環境依存性が最も少ないという。また既存のシェルコードを配置できるスペースが広く、シェルコードの統合が容易だ。さらに、バイナリファイルではなく、文書という「テキストファイル」をベースとしていることも、Exploitの作成を容易にするという。

 もう1つ、これらの脆弱性がやっかいなのは、たとえユーザーが「メールで届いたり、Webからダウンロードしたりした不審な一太郎形式のファイルを開かないよう心がける」という基本的な対策を取っていても、被害に遭う可能性がある点だ。

 「Webブラウザ経由で攻撃もできるため、(この脆弱性が)悪意のある組織や個人に先に見つけられていたら、ゼロデイの標的型攻撃に利用されていたかもしれない」と鵜飼氏は指摘している。

 具体的には、一太郎や一太郎ビューアをインストールすると、Internet ExplorerやFirefoxのプラグインとして一太郎ビューアが動作する。フォティーンフォティ技術研究所によると、拡張子を「jtd」としたリッチテキスト形式の攻撃ファイルを用意すると、このプラグイン経由、あるいはActiveXコントロール経由で、脆弱性が攻略され得るという。

 「一太郎ファイルは、PDFなどのようにプラグイン経由で、警告なしに自動的に開いてしまう」(鵜飼氏)。つまりユーザーによる動作が介在しなくとも、Webブラウザで攻撃コードが記述されたファイルへのリンクをクリックするだけで、自動的に攻撃ファイルが開かれ、被害を受ける可能性がある。

 なお、ジャストシステムのアドバイザリには、過去の脆弱性と同様の注意として「身に覚えのない電子メールに添付されている一太郎文書ファイル、並びに、信頼性が保証されていないWebサイトなどにある、出所の不明な一太郎文書ファイルを開かないよう、ご注意ください」と記述されているが、プラグインを介した攻撃の可能性については触れられていない。

 同社によると「特定の操作に限定しない形で注意を喚起したかった」ことがその理由という。

 一方、情報処理推進機構(IPA)では10月26日、前日に公開した当初のアドバイザリに追記する形で、「Webブラウザの種類によっては、ダウンロード後に(ファイルを)開くなどの操作を行わなくても、悪意あるURLにアクセスするだけで被害を受けてしまう可能性がある」ことを警告している。

 さまざまなユーザーが利用していることを考えると、脆弱性の公表においては、何が根本的な問題であり、どうすればそれを避けたり、解消できるのかを正確に伝えることが望まれるだろう。この点についてジャストシステムは「今後検討する」としている。

(@IT 高橋睦美)

情報をお寄せください:


@IT Special

- PR -

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -