PDFファイルを使った攻撃、パッチ公開から24時間以内に出現

　Adobe Systemsが、Adobe ReaderやAcrobatといった同社製ソフトウェアに内在するセキュリティホール用のフィックスをリリースしてから24時間も経たないうちに、マルウェア付きのPDFファイルが電子メールのスパムフィルターに引っかかり始めた。

　この積極的な攻撃が発見された今、Windowsユーザーは、直ちに自分のコンピュータをスキャンして脆弱性のあるソフトウェアがないか確認し（デンマークのセキュリティ企業Secuniaが提供する無料サービス「Software Inspector」などがある）、すべての必要なパッチを適用する必要がある。

　セキュリティ企業SymantecのDeepSight Threat Management Systemチーム所属のアナリスト、Erik Kamerling氏によると、このメール媒介型の攻撃では、「mailto」オプションの脆弱性が利用されているという。この点は、Petko D. Petkov氏が9月に指摘しており、またAdobeも10月初めに認めている。

　Symantecは、このマルウェアファイルをTrojan.Pidief.Aと名付けた。Trojan.Pidief.Aは、コンピュータのセキュリティ設定を下げたり、感染したコンピュータにより多くの悪質な実行ファイルをダウンロードするのに利用される。Trojan.Pidief.Aは、スパムメールとしてばら撒かれ、添付ファイルには「BILL.pdf」や「INVOICE.pdf」などの名前が付されている。

　Kamerling氏によると、このファイルが実行されると、悪意あるコードが「netsh firewall set opmode mode=DISABLE」コマンドを使ってWindows Firewallを無効化し、81.95.146.130サーバからFTP経由でリモートファイルをダウンロードする（そのリモートファイルは「ldr.exe」で、中身はDownloader.Trojanだ）。

　米国東部標準時間午後4時現在、ホスト81.95.146.130は稼動しており、FTP経由で「ldr.exe」ファイルを供給し続けている。この81.95.146.130サーバは、悪意あるソフトウェアの供給元として知られている、とKamerling氏は警告する。

　SymantecのDeepSightチームは、ネットワーク管理者に以下の措置を講じるよう勧告している。

• 電子メールによるPDFファイルの配信を阻止する
• 未知の、あるいは信頼できない送信元から送られたPDFファイルを開かないよう従業員に勧告する
• この攻撃に関連するネットワークやIPアドレスへのアクセスを遮断する
• Adobe Advisory APSB07-18に列挙されているパッチを直ちに適用する

　iSIGHT Partnersのグローバルレスポンス担当ディレクター、Ken Dunham氏によると、攻撃者たちは2種類のルートキットファイルを使って、乗っ取ったコンピュータ内の財務情報などの貴重なデータを探し、盗み出しているという。これらのルートキットはWindowsディレクトリ内に「9129837.exe」や「new_drv.sys」という名前でインストールされる。

　「ウイルス検出プログラムは、この攻撃に関わるエクスプロイトファイルやペイロードにはあまりに無力だ。攻撃が行われている間にテストした39のアップデート済みプログラムのうち、（検出できたのは）平均してわずか26％だった」とDunham氏は語る。また同氏は、その2つの攻撃サーバが、悪名高いRussian Business Network（RBN）につながっていると指摘した。

　Dunham氏は、今回の攻撃と2006年9月に発生したVector Markup Language（VML）の脆弱性を狙ったゼロデイ攻撃との関連を発見した。「今回の攻撃で使用されたサーバは、過去に発生したアニメーションカーソルの脆弱性の悪用や、SnifulaやCoolWebSearchといったマルウェアのインストールに関連する他の悪意ある攻撃にも関与している」（Dunham氏）