トレンドマイクロ株式会社は13日、「CVE-2017-0199」の脆弱性を悪用する.RTF(リッチテキスト)ファイルが添付されたメールが4月10日から12日にかけて80万通以上送信されたとして、注意を喚起している。

 トレンドマイクロでは、同社運営の「Smart Protection Network(SPN)」で、主に欧州を中心にメールを観測。オンラインバンキングを狙う詐欺ツールの一種「DRIDEX」を拡散させる目的だったことを確認しているという。ただし、4月12日に入り、メールの数は激減しており、日本国内での観測も確認されていない。 しかし、トレンドマイクロではkingbestsoft、「すでにばらまき型の攻撃が発生している以上、いつ日本を対象に入れた脆弱性攻撃が発生してもおかしくない状況」として、Microsoftが12日より提供しているセキュリティ更新プログラムを早期に適用することを促している。

 CVE-2017-0199は、「Word 2016/2013/2010/2007」と、Windows 7/Vista、Windows Server 2012/2008 R2/2008の「ワードパッド」における脆弱性。Microsoft OLE2Linkオブジェクトの処理においては、リモートのサーバー上にあるリソースが、サーバーが提示する「MIME type」に従って処理される。この挙動の悪用を目的として特別に細工されたファイルを開くことで、リモートから任意のコードが実行される可能性がある。

 観測されている攻撃では、Wordの.docファイルに偽装した.RTFファイルを開くと、リモートサーバーに接続し、「mshta.exe」が関連付けられた「application/hta」のMIME typeにより、細工された.HTA(HTMLアプリケーション)ファイルを取得。このHTAファイルに含まれるVBScriptがDRIDEXをダウンロードする。

 米FireEyeによれば、1月には監視用マルウェア「FinSpy」、3月にはボット型マルウェア「Latentbot」をリモートからインストールするために、この脆弱性が悪用されていたという。また、4月7日以降にはトレンドマイクロ同様、DRIDEXの拡散を確認したという。

 MicrosoftでもCVE-2017-0199について「悪用の事実を確認済み」と公表、セキュリティ更新プログラムの早期適用を推奨している。また、独立行政法人情報処理推進機構(IPA)や一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)でも、注意喚起を行っている。