ジャストシステムは11月13日に、ワープロソフト「一太郎」シリーズに見つかった脆弱性を修正するためのアップデートを公開しました。
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
これだけでは、よくある話に思えます。ソフトウェアの脆弱性は多くのソフトウェアに潜み、修正版は日々リリースされています。
問題は、1年前からこの脆弱性を悪用した攻撃が行われていたことが、わかっていたことです。
シマンテックの『CloudyOmega 攻撃: 一太郎のゼロデイ脆弱性を悪用して日本を継続的に狙うサイバースパイ攻撃』によると、この脆弱性は2014年11月に日本の組織を標的とする攻撃で使われています。
標的とした組織に対し、脆弱性を悪用した一太郎のファイルがメールに添付されて送られてきます。
ファイルを開くと、パソコンは外部から遠隔操作できる状態になり、ウィルスを仕込まれたり、情報を盗み取られたりします。被害者は、ウィルスを仕込まれたことも、情報を盗み取られたことも気づきません。
攻撃は日本の公的機関を標的として、侵害された複数のウェブサイトを経由して行われることもわかっています。ひとつのグループから複数のグループが派生し、それぞれが日本の公的機関をねらっているようです。
日本の公的機関では、一太郎が日本の標準ワープロソフトとして使われていたころにパソコンの導入を進めたところが多く、そのころに作成した文書ファイルをまだ使っています。
日本の公的機関から情報を盗み出したいグループにとっては、一太郎の脆弱性は格好の侵入口となります。
『新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃』によると、シマンテックは2013年9月の時点ですでにこの脆弱性を使った攻撃を確認し、報告しています。
2014年4月にInternet Explorerの脆弱性が見つかって騒ぎになったとき、Microsoftは数日のうちに修正のためのアップデートを公表しました。
シマンテックが報告してから1年たっており、ジャストシステムの対応は遅すぎると言わざるを得ません。
【2014年11月16日追記】
次の記事によれば、一太郎の脆弱性を悪用する攻撃が発生したのは2014年11月に入ってからとなっています。
「一太郎」にゼロデイ攻撃、日本が標的の「CloudyOmega攻撃」が今年になって活発化 -INTERNET Watch
記事初出時、記事タイトルならびに本文において、今回見つかった一太郎の脆弱性へのゼロデイ攻撃が数年にわたって行われていたものと説明しておりましたが、これは誤りです。CloudyOmega攻撃の初期の手口は他のソフトの脆弱性を悪用したもので、今回の一太郎の脆弱性を悪用する攻撃が発生したのは今年11月に入ってからとなります。お詫びして訂正いたします。
しかし、シマンテックの『新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃』によると2013年9月の時点ですでにこの脆弱性を使った攻撃を確認しています。
そのため、タイトルを『ジャストシステムに何が起こっている?一太郎の脆弱性を3年間放置』から『ジャストシステムに何が起こっている?一太郎の脆弱性を1年間放置』に変更し、記事の内容も変えました。
