Microsoftの「Word」に存在し、これまで明らかにされていなかった脆弱性が攻撃者らによって悪用されている。セキュリティ研究者らによると、この脆弱性を悪用すれば、既存のパッチがすべて適用されているコンピュータであっても、さまざまなマルウェアを悟られることなくインストールできるという。



提供:ZDNet 提供:ZDNet

このゼロデイ脆弱性（まだパッチはリリースされていない）は、マクロの処理に存在するものではないという点が、文書関連の多くの脆弱性とは異なっている。なお、「Office」製品はたいていの場合、マクロを悪用した攻撃に備え、マクロが有効化されたファイルを開く際にユーザーに対して警告を出すようになっている。

今回の脆弱性は、仕掛けの施されたWord文書をユーザーが開いたタイミングで悪用される。具体的には、まずリッチテキスト形式の文書に見せかけた悪質なHTMLアプリケーションがサーバからダウンロードされる。このHTMLアプリケーションは、悪質なスクリプトをダウンロード、実行するようになっており、これによってひそかにマルウェアをインストールできるようになる。

米国時間4月7日にこの脆弱性を公表したMcAfeeの研究者らによると、こういったHTMLアプリケーションはコンピュータ上での実行が可能となっているため、攻撃者はこの種の攻撃を防御するためのメモリベースのマルウェア対策の網の目をかいくぐり、攻撃対象のコンピュータ上でコードを実行できるという。

McAfeeとFireEye（FireEyeは同様の発表を8日付けで実施しているが、その数週間前から脆弱性の存在についてMicrosoftとやり取りしていたため、公表を控えていたという）の両社は、脆弱性の原因について一致した見解を有している。研究者らによるとこの問題は、アプリケーションから他の文書にリンクしたり、そのコンテンツを埋め込めるようにする機能である、「Windows」の「Object Linking and Embedding」（OLE）に関連して引き起こされているという。OLE機能は、主にOffice製品と、Windowsに標準搭載されている簡易ワープロソフト「WordPad」で用いられているが、ここ数年で悪用されることが増えてきている脆弱性の原因となっている。

McAfeeの研究者らは、「Black Hat 2015」でもOLEという攻撃対象領域に焦点を当てていた。

研究者らによるとこの脆弱性は、「Windows 10」上で動作する最新の「Office 2016」を含む、Officeのあらゆるバージョンに影響を与えており、実際の攻撃も1月以来発生しているという。

この脆弱性は、Microsoftが定期的に同社製品のセキュリティに関する修正やパッチをリリースする「Patch Tuesday」まであと1週間もないというタイミングで発表された。

このため同社が定例パッチの期日までにこのゼロデイ脆弱性を修正するかどうかは明らかになっていない。

本記事の公開に先立ち、同社の広報担当者からのコメントは得ている。