検索
ニュース

「検知ツールにはPDFに見える、悪性マクロ付きWordファイル」を使った攻撃が登場 JPCERT/CCサンドボックスやウイルス対策ソフトウェアなどで検知できない可能性

JPCERT/CCは、悪性なWordファイルをPDFファイルに埋め込む新しい攻撃手法を確認した。実質的にはマクロ付きWordファイルだが、サンドボックスやウイルス対策ソフトウェアなどでは埋め込まれた悪性なマクロを検知できない恐れがある。

Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(JPCERT/CC)は2023年8月22日、同年7月に発生した攻撃で、悪性な「Microsoft Word」(以下、Word)ファイルをPDFファイルに埋め込む新しい攻撃手法「MalDoc in PDF」が使用されたと発表した。PDFファイルとして認識されるため、サンドボックスやウイルス対策ソフトウェアなどでは「悪意のあるマクロが含まれたファイルだ」と検知できない恐れがある。

PDF分析ツールでは見つけられない可能性が高い

 MalDoc in PDFで作成されたファイルには、PDFオブジェクトに続いてWordで作成されたマクロ付きmhtファイルが格納されている。このファイルは、ファイルのシグネチャとしてはPDFファイルと判定されるが、Wordでも開くことができる。

画像
MalDoc in PDFで作成されたファイルのダンプ表示。PDFオブジェクトの後にマクロ付きmhtファイルが格納されている(提供:JPCERT/CC

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る