検索
ニュース

「検知ツールにはPDFに見える、悪性マクロ付きWordファイル」を使った攻撃が登場 JPCERT/CCサンドボックスやウイルス対策ソフトウェアなどで検知できない可能性

JPCERT/CCは、悪性なWordファイルをPDFファイルに埋め込む新しい攻撃手法を確認した。実質的にはマクロ付きWordファイルだが、サンドボックスやウイルス対策ソフトウェアなどでは埋め込まれた悪性なマクロを検知できない恐れがある。

Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(JPCERT/CC)は2023年8月22日、同年7月に発生した攻撃で、悪性な「Microsoft Word」(以下、Word)ファイルをPDFファイルに埋め込む新しい攻撃手法「MalDoc in PDF」が使用されたと発表した。PDFファイルとして認識されるため、サンドボックスやウイルス対策ソフトウェアなどでは「悪意のあるマクロが含まれたファイルだ」と検知できない恐れがある。

PDF分析ツールでは見つけられない可能性が高い

 MalDoc in PDFで作成されたファイルには、PDFオブジェクトに続いてWordで作成されたマクロ付きmhtファイルが格納されている。このファイルは、ファイルのシグネチャとしてはPDFファイルと判定されるが、Wordでも開くことができる。

画像
MalDoc in PDFで作成されたファイルのダンプ表示。PDFオブジェクトの後にマクロ付きmhtファイルが格納されている(提供:JPCERT/CC

 2023年7月の攻撃ではファイルの拡張子が「.doc」となっていた。Windowsの設定で「.doc」をWordに関連付けしていると、MalDoc in PDFで作成されたファイルはWordファイルとして開かれる。このファイルにマクロが設定されていると、ファイルが開かれるとともにマクロ(VBScript)が動作し、攻撃行動を始めるという仕組みだ。

 厄介なことに、MalDoc in PDFで作成されたファイルは「pdfid」などのPDF分析ツールを使っても悪性部分(マクロ)を発見できない可能性が高い。また、PDFビュワーで開いた場合も攻撃行動は起こさない。ただJPCERT/CCによると、悪性なWordファイルの分析ツールである「OLEVBA」であればファイルの悪性部分を出力できるため、判別が可能だという。

画像
OLEVBAの分析結果(提供:JPCERT/CC

 なお、MalDoc in PDFでマクロ付き「Microaoft Excel」(以下、Excel)ファイルの内容を埋め込んだとしても、Excelは起動時にファイルの拡張子が異なる旨の警告を表示する。この警告をユーザーが許可しないとファイルが開かれないため、JPCERT/CCでは同手法に「Excelファイルが用いられる可能性は現時点で低い」としている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  4. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  5. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  6. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  7. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  8. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  9. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  10. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
ページトップに戻る