どのようにコンピュータに侵入するか:

この脅威は、「2010年上海万国博覧会」を主催する「Bureau of the Shanghai World Expo(上海万博事務協調局)」を装ったスパムメールとしてユーザのコンピュータに侵入します。このメールには、不正なPDFファイルが添付されており、ユーザにファイルを開いて用意されたフォームに記入するように促します。

どのような不正活動を行うのか:

添付された不正PDFファイルは、「TROJ_PIDIEF.ACV」として検出されます。このマルウェアは、特定のバージョンのAdobe Acrobat および Readerに存在する脆弱性を突く攻撃を行います。脆弱性が利用されると、マルウェアは、「BKDR_RIPINIP.I」として検出されるバックドア型マルウェアを作成します。

どのような被害をユーザにもたらすか:

このバックドア型マルウェアは、感染コンピュータのOSバージョンやCPU情報、コンピュータ名、IPアドレスなどのシステム情報を収集してランダムなTCPポートを開き、HTTPポストを介して以下のサーバに情報を送信後、不正リモートユーザからのコマンドを待機します。

どのような新しい手口を用いるか:

この脅威が用いた脆弱性は、2010年に入り確認された他の攻撃でも利用されていますが、その利用方法は、他には見られないユニークなものです。今回の攻撃では、メールに添付されたPDFファイルに不正TIFEファイルが組み込まれており、このTIFEファイルがアドビ製品により処理される際に脆弱性を突き、任意のコードを実行します。このTIFEファイルを利用する点が、今回の攻撃の特徴となっています。

また、この攻撃は、「2010年上海万国博覧会」に対するユーザの高い関心や参加への意向を利用している点も挙げられます。上海万博は、万博史上最高といわれる7000万人の参加が見込まれるとも報じられ、話題性の高い世界的なイベントです。

トレンドマイクロの技術はどのようにしてこの脅威を防ぐことができるか:

今回の攻撃には複数のコンポーネントが用いられています。スパムメール、PDFファイルを利用した脆弱性攻撃、およびバックドア型マルウェアの外部への交信を確実にブロックし、脅威を検出するには、多重構造の防御が必要です。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、この攻撃に関連するすべてのスパムメールおよび不正ファイルを検出し、バックドア型マルウェアが収集した情報の送信に利用するドメインサーバをブロックします。「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」もまた、この攻撃に関連する脆弱性からユーザを守ります。ウイルスバスターコーポレートエディションのプラグイン製品である「Trend Micro 侵入防御ファイアウォール™(ウイルスバスター コーポレートエディション プラグイン製品)」も、IDF10-014の更新以降、この攻撃に対応しています。

関連マルウェア