2014年11月13日にジャストシステムが同社の一太郎に脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここではその関連情報をまとめます。
開発元 公式発表
- 2014/11/13 [JS14003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
注意喚起・脆弱性公開情報
影響範囲
対策
- ジャストシステムが公開したセキュリティ更新モジュールを適用する。
- 体験版は一度アンインストールを行い、最新版をインストールする。
検体情報
ファイル名*1 | 種類 | SHA256 |
---|---|---|
エボラ予防.jtd | ドロッパー (一太郎) |
d4d2269c99913e33796bfe33f7cdcee8c628c3b57bb146921e2378645b8cfabf |
141105 官民連携強化の必要性rev1.jtd | ドロッパー (一太郎) |
1eac1ee41016f4b515874f66a5c03b35fc07ad35073b58583861f0d08cd887dd |
健康保険のお知らせ.jtd | ドロッパー (一太郎) |
dd06173751257c9a8f24babbc1179e433f1bae5c2b841763b95c1c6890e5b983 |
国防会議資料.jtd | ドロッパー (一太郎) |
920300763729a300863c5de1b3850f2ceac2c7688011d8423f80d3989dbd8a1f |
★合体版.jtd | ドロッパー (一太郎) |
04283696b53c5d37f9b960172ec57f214b3291f48315d1116bc8d1707c789111 |
kentai.jtd? | ドロッパー (一太郎) |
c4a6588e642dcc7d66c71c179417dc14a784600c709c69a8946158ce2daf1fae |
不明 | 不明 | c5c22fe832a537c8dc36f00d9d5c10cf271aedac (SHA1) |
- 検体情報は次の方から情報を頂き掲載しています。
- @ucqさん
- @Jojihamadaさん
検知名
- TROJ_TARODROP.SM (TrendMicro) 他にも亜種あり
- Bloodhound.Exploit.557 (Symantec)
- Troj/DocDrop-DL (Sophos)
解析記事
- 日本語ワープロソフト 「一太郎」に対するゼロデイ攻撃を確認(TrendMicro)
- ゼロデイ攻撃に利用された一太郎の脆弱性とシェルコードの詳細分析 (TrendMicro)
悪用元に関する情報
気になる記述
- Symantecの記事中に次の気になる記述がある。
侵害されたサイトは、さまざまな Web サイトプラットフォーム上で Apache や Microsoft Internet Information Services(IIS)など各種の Web サーバーソフトウェアによってホストされています。このことから、単一のソフトウェア製品や Web サイトプラットフォームの脆弱性を突かれて侵害されたのではないことが分かります。攻撃者は何らかの手段でクラウドサービス自体を侵害して、複数の Web サイトを Backdoor.Emdivi の C&C サーバーとして改ざんしたのです。
http://www.symantec.com/connect/blogs/cloudyomega
侵害されたクラウドホスティング会社には通知済みですが、このブログの執筆時点ではまだ返答がありません。
- 医療費通知偽装で使用されていたドメインのIPアドレス運営組織を調べてみる。
ドメイン | IPアドレス | 運営組織 |
---|---|---|
arkhe-will.jp | 125.206.116.95 | GMO CLOUD K.K. |
kaerunote.com | 125.206.115.72 | GMO CLOUD K.K. |
hosting-sv.jp | 125.206.115.72 | GMO CLOUD K.K. |
muku-mori.com | 125.206.115.79 | GMO CLOUD K.K. |
nishina.gr.jp | 125.206.115.72 | GMO CLOUD K.K. |
sekisan.biz | 125.206.115.79 | GMO CLOUD K.K. |
sakura-farm.com | 210.224.177.242 | HETEML-JP |
更新履歴
- 2014/11/13 PM 新規作成
- 2014/11/14 PM 検体情報を追加