メールを開いていないのに感染:Outlookの脆弱性

2016年1月5日
ニュース 脅威

「怪しいリンクはクリックしないでください」「心当たりのない人から送られたファイルは絶対に開かないでください」「信頼できない差出人からのメールはすべて削除してください」。こういうことは、これまで何度も繰り返しお伝えしてきました。どれも実際的なアドバイスなのですが、Outlookを使っている場合、こうした対策を講じてもBadWinmail脆弱性から身を守ることはまず無理です。何かをクリックしたり、開いたりしなくても、感染してしまいます。メールを1通受け取る―それで終わりです。そのメールを開く必要すらありません。

badwinmail-featured

なぜそんなことが可能なのか?

Microsoft Officeを使い慣れている人ならご存知でしょうが、MS Officeファイルにはオブジェクトを埋め込むことができます。オブジェクトなら何でもいいわけではありませんが、埋め込み可能なオブジェクトを一覧表にしてみれば、かなりの長さになります。これはOLE(Object Linking and Embedding)テクノロジーと呼ばれています。

なんと、このテクノロジーはDOCやXLSといったファイルだけでなく、Outlookのメールでも使えます。さらになんと、前述の埋め込み可能なオブジェクトの一覧表には、一般的なMS Officeのオブジェクトのほか、Adobe Flashオブジェクトといった素晴らしいものまで含まれているのです。

サイバー犯罪者がFlashを愛してやまない理由をご存知ですか?それはFlashが脆弱性の宝庫だからです(英語記事)。こういったバグの中にはゼロデイ脆弱性があり、パッチが適用されていません。このような脆弱性を悪用すれば、PCに対して絶対にしてほしくないことが可能になるのです。

これはよく知られた問題なので、ほとんどの開発者は同じようなシンプルな対策をとっています。つまり、自社のソフトウェア(たとえばブラウザー)でFlashコンテンツを使うときは、いわゆる「サンドボックス」でしか実行しないという方法です。悪意あるコードは、サンドボックスの中でなら何だってできます。それこそ、奇想天外なサイバー最終戦争を始めることだって可能です。

しかし、サンドボックスから出ることはできないため、外側にあるものには一切影響がなく、ファイルが破壊されることもない、というわけです。少なくとも、そのように設計されています。この仕組みが上手くいかないこともあるのですが、それについては別の機会にお話ししましょう。今回の話にはまったく関係ありませんから。

さて、3つ目の「なんと」を心待ちにしていた皆さん、お待たせしました。なんと、Outlookは危険性のあるオブジェクトに対してこのようなサンドボックスを使用しておらず、すべて標準モードで実行しています。つまり、埋め込みオブジェクトの中に悪意あるコードが含まれていても、PCにインストールされている他のソフトウェアと同じように振る舞えるのです。

今回の問題は、3つの悪い知らせで終わりではありません。ありがたいことに、Outlookは利用者よりも先に新着メールを開いてしまいます。つまり、BadWinmailを悪用するエクスプロイトが添付されたメールが新着メールとして受信トレイに存在すると、Outlookの起動と同時にそのメールが実行されてしまうのです。

このバグを発見したセキュリティリサーチャー、リー・ハイフェイ(Haifei Li)氏はこの脆弱性をBadWinmailと命名し、これを悪用した攻撃の概念実証プログラムを作成しました。リー氏は調査結果(英語)の中で、その概念実証を非常にシンプルな言葉で説明しています。

さらに、比較的短い動画を作成し、この脆弱性の実際の仕組みについて、基本的な概念を見事に説明しています。

たとえて言うなら、PC上で無害な電卓アプリの代わりにランサムウェアが実行されるようなもの。そう考えれば、この問題の極悪度がおわかりいただけるでしょう。

幸い、リー・ハイフェイ氏はこのバグをMicrosoftに報告済みで、12月8日に修正されています。しかし、残念ながら、ソフトウェアをタイムリーにアップデートする習慣のない人は、相変わらずこの脆弱性を抱えたままです。こういう人はたいてい何週間も、何か月も、もしかすると何年も脆弱性を抱えたままで過ごしてしまいます。

このレポートは公開済みであるため、BadWinmail脆弱性につけこんで、大量のPCを感染させようと考えるサイバー犯罪者は大勢いるに違いありません。すべてのソフトウェアをすみやかに更新することは本当に重要なのかセキュリティ製品を使用する必要があるのか、という疑問を抱いたことがある人でも、今回の一件で、その疑問には「そのとおり」と答えるしかないことに納得いただけるのではないでしょうか。