「検知ツールにはPDFに見える、悪性マクロ付きWordファイル」を使った攻撃が登場 JPCERT／CC：サンドボックスやウイルス対策ソフトウェアなどで検知できない可能性

JPCERT／CCは、悪性なWordファイルをPDFファイルに埋め込む新しい攻撃手法を確認した。実質的にはマクロ付きWordファイルだが、サンドボックスやウイルス対策ソフトウェアなどでは埋め込まれた悪性なマクロを検知できない恐れがある。

[＠IT]

　JPCERTコーディネーションセンター（JPCERT／CC）は2023年8月22日、同年7月に発生した攻撃で、悪性な「Microsoft Word」（以下、Word）ファイルをPDFファイルに埋め込む新しい攻撃手法「MalDoc in PDF」が使用されたと発表した。PDFファイルとして認識されるため、サンドボックスやウイルス対策ソフトウェアなどでは「悪意のあるマクロが含まれたファイルだ」と検知できない恐れがある。

PDF分析ツールでは見つけられない可能性が高い

　MalDoc in PDFで作成されたファイルには、PDFオブジェクトに続いてWordで作成されたマクロ付きmhtファイルが格納されている。このファイルは、ファイルのシグネチャとしてはPDFファイルと判定されるが、Wordでも開くことができる。

MalDoc in PDFで作成されたファイルのダンプ表示。PDFオブジェクトの後にマクロ付きmhtファイルが格納されている（提供：JPCERT／CC）

　2023年7月の攻撃ではファイルの拡張子が「.doc」となっていた。Windowsの設定で「.doc」をWordに関連付けしていると、MalDoc in PDFで作成されたファイルはWordファイルとして開かれる。このファイルにマクロが設定されていると、ファイルが開かれるとともにマクロ（VBScript）が動作し、攻撃行動を始めるという仕組みだ。

　厄介なことに、MalDoc in PDFで作成されたファイルは「pdfid」などのPDF分析ツールを使っても悪性部分（マクロ）を発見できない可能性が高い。また、PDFビュワーで開いた場合も攻撃行動は起こさない。ただJPCERT／CCによると、悪性なWordファイルの分析ツールである「OLEVBA」であればファイルの悪性部分を出力できるため、判別が可能だという。

OLEVBAの分析結果（提供：JPCERT／CC）

　なお、MalDoc in PDFでマクロ付き「Microaoft Excel」（以下、Excel）ファイルの内容を埋め込んだとしても、Excelは起動時にファイルの拡張子が異なる旨の警告を表示する。この警告をユーザーが許可しないとファイルが開かれないため、JPCERT／CCでは同手法に「Excelファイルが用いられる可能性は現時点で低い」としている。