HOME情報セキュリティMicrosoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 ~不審メールへの警戒、緊急対策の実施を~

本文を印刷する

情報セキュリティ

Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 ~不審メールへの警戒、緊急対策の実施を~

第13-39-304-1号
掲載日:2013年11月20日
最終更新日:2013年12月11日
独立行政法人情報処理推進機構
(PDFはこちら)

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、Microsoft Office 等における脆弱性(CVE-2013-3906) について、当該脆弱性を悪用する、国内の組織に対する標的型攻撃の事例を確認したため、マイクロソフト社から修正プログラムが提供されるまでの間の回避策の実施を呼びかけます。
(2013/12/11 追記) 本脆弱性(CVE-2013-3906) の修正プログラムがマイクロソフト社より公開されました。詳しくは、下記「Microsoft Office 等の脆弱性対策について(CVE-2013-3906)」のウェブページを参照してください。

※追記すべき情報がある場合には、その都度このページを更新する予定です。

1.概要
 Microsoft Office 等の脆弱性(CVE-2013-3906) について、当該脆弱性を悪用する、国内の組織に対する標的型攻撃の事例を確認しました。
 改めて、下記の緊急対策情報に従い、マイクロソフト社から修正プログラムが提供されるまでの間の回避策として、Fix itの適用等の対策実施を呼びかけます。
 「Microsoft Office 等の脆弱性対策について(CVE-2013-3906)」
 http://www.ipa.go.jp/security/ciadr/vul/20131106-ms.html

2.IPAで確認した事例
 IPAでは、国内の民間企業等に対し、CVE-2013-3906 を悪用する標的型メール攻撃が発生したことを確認しました。以下に、IPAで確認した攻撃事例の特徴を示します。
    ①  当該攻撃メールの件名、本文、添付ファイル名には日本語が使われていました。
    ②  添付ファイル名は「履歴書.zip」となっており、このファイルを解凍して得られるWord文書ファイルを開いた場合、CVE-2013-3906が悪用され、パソコンへマルウェアを感染させられてしまう仕組みとなっていました。
    ③  業務上、添付ファイルを開いて内容を確認する必要がある、組織外向けの問い合わせ窓口へのメールを装うという手口が使われていました。

図1.攻撃事例のイメージ図
図1.攻撃事例のイメージ図

 本脆弱性を悪用する攻撃において、Word文書ファイルが使われるとは限らず、別の形式のファイルや、ウェブサイトへの誘導によって攻撃が行われる可能性があります。同種の攻撃が継続して発生する可能性があり、注意が必要です。脆弱性CVE-2013-3906 および対策方法について、緊急対策情報を参照し、対策を実施してください。

 今後発生しうる他の攻撃に対しても有効であることは保証できませんが、IPAが入手した攻撃メールに添付されていた検体については、マイクロソフト社が公開しているFix it 51004 を適用した環境では攻撃が失敗する(攻撃メールに添付された文書ファイルを開いてもマルウェアに感染しない)ことを確認しています。
 
3.「標的型サイバー攻撃の特別相談窓口」への情報提供のお願い
 IPAでは、一般利用者や企業・組織向けの「標的型サイバー攻撃の特別相談窓口」にて、標的型攻撃メールを含む標的型サイバー攻撃全般の相談や情報提供を受け付けています。限られた対象にのみ行われる標的型サイバー攻撃に対し、その手口や実態を把握するためには、攻撃を検知した方々からの情報提供が不可欠です。
 本件に関するか否かに関わらず、標的型サイバー攻撃に関する情報について、ぜひ、相談や情報提供をお寄せください。

 標的型サイバー攻撃の特別相談窓口(IPA)
 http://www.ipa.go.jp/security/tokubetsu/index.html

4.参考情報
 IPAでは、標的型攻撃に対する様々な活動を実施しており、以下のコンテンツを公開しておりますので、合わせて参照頂くことをご案内します。

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 金野/松坂
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail:

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/梶
Tel: 03-5978-7503 Fax: 03-5978-7510
E-mail:

更新履歴

2013年12月11日 修正プログラムが公開された旨を追記
2013年11月20日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。