マクロレスファイルを用いた最新の攻撃手法
セキュリティ 2018.11.21
様々なサイバー攻撃手法が日々生み出されている現状においても、攻撃者にとって最もよく利用される侵入手口はメールを通じてWindowsユーザをマルウェアに感染させる手法です。
今回は、マクロ実行の許可を必要としない最新の攻撃手法と、今年確認されているその他の攻撃例や悪用されやすい拡張子についてご紹介いたします。
このニュースはこちらよりPDFファイルにてご覧いただくことができます。
1 概要
様々なサイバー攻撃手法が日々生み出されている現在でも、攻撃者によって最もよく利用される侵入手口はメールを通じてWindowsユーザをマルウェアに感染させる手法です。IPAの選出する「情報セキュリティ10大脅威 2018 組織編」における第1位はここ数年「標的型攻撃」関連であり、その主な攻撃のきっかけはメールと言われています。
この時、攻撃者の狙いは主に以下の2つです。
この時、攻撃者の狙いは主に以下の2つです。
● メール内のリンクをクリックさせ、マルウェア本体もしくはそのダウンローダーをダウンロードさせる。
● 添付したWord文書やExcelファイルなどに不正なコンテンツやマクロを埋め込み、それを実行させる。
● 添付したWord文書やExcelファイルなどに不正なコンテンツやマクロを埋め込み、それを実行させる。
一方で、通常マルウェアをダウンロード及び実行させるためには、ユーザの注意を潜り抜け、「マクロの有効化」といったいくつかの警告メッセージを許可させる必要があります。しかし、明らかに不自然な日本語で書かれたメールや、”.exe”など典型的な怪しい拡張子のファイルは開かないという方も多いでしょう。
よって、攻撃者は見慣れない拡張子のファイルを利用するなど、ユーザをマルウェアに感染させるために様々な工夫を凝らしています。中でも、最近発見されたマクロ機能を使用しない(マクロレスな)手法は、警告メッセージが表示されない分ユーザが攻撃と気づかない可能性が高いため、特に注意が必要です。
今回は、マクロ実行の許可を必要としない最新の攻撃手法と、今年確認されているその他の攻撃例や悪用されやすい拡張子についてご紹介いたします。
よって、攻撃者は見慣れない拡張子のファイルを利用するなど、ユーザをマルウェアに感染させるために様々な工夫を凝らしています。中でも、最近発見されたマクロ機能を使用しない(マクロレスな)手法は、警告メッセージが表示されない分ユーザが攻撃と気づかない可能性が高いため、特に注意が必要です。
今回は、マクロ実行の許可を必要としない最新の攻撃手法と、今年確認されているその他の攻撃例や悪用されやすい拡張子についてご紹介いたします。
2 マクロレスファイルを用いた最新の攻撃手法:「オンラインビデオの挿入」の利用
2.1 概要
10月下旬、 Cymulate のセキュリティ研究チームによって、Word文書のオンラインビデオ埋め込み機能を利用した手法が発見されました。本機能は、通常であればYouTubeなどの動画をWord文書内に埋め込むものですが、これを悪用することで、動画再生の代わりに攻撃者の任意のhtmlやjavascriptを実行させることが可能となります。
注意すべき点として、この手法はマクロ機能を使用していないため「コンテンツの有効化」といった警告メッセージが表示されません。 すでに本機能を悪用した検体が確認されていますが、本記事掲載時点においてMicrosoftによる対応の予定はないため、十分な注意が必要です。
2.2 攻撃の仕組み
“.docx” ファイルは実際にはテキストや書式設定などの各ファイルを圧縮した状態で保存されています。よってWord文書をファイル解凍ツールで展開すると、通常のXML形式のファイル等から構成されている様子を見ることができます。
展開後、wordフォルダ内の document.xml を開くと、動画が含まれたiframe要素を持つ embeddedHtml パラメータを確認することができます。
展開後、wordフォルダ内の document.xml を開くと、動画が含まれたiframe要素を持つ embeddedHtml パラメータを確認することができます。
【図2】 document.xml 内の embeddedHtml パラメータ
このiframe要素を任意のhtml/javascriptに書き換えることで、動画を再生しようとクリックしたユーザの環境で警告メッセージ無しにコードが実行されます。ここから攻撃者の用意したWebサイトにアクセスさせるなど、様々な悪用方法が考えられます。
【図3】 embeddedHtml パラメータ変更後の再生画面(変化が分かりやすいよう、Buttonを表示させています)
3 その他の攻撃例の紹介
3.1 ”.lnk” ファイルや ”.rtf” ファイルの利用:ファイルレスマルウェア
ファイルレスマルウェアは、昨年から流行しているマルウェア感染手法です。主に ”.lnk” ファイルや ”.rtf” ファイルを実行させることで、そこに埋め込まれたマクロからWindowsのPowerShellコードを実行させます。
Windowsの標準機能であるPowerShellを用いているので従来のセキュリティ製品では検知されにくい特徴があります。
以前に弊社のグループ企業であるセキュアソフトのセキュリティニュースにおいて取り上げておりますので、詳しくはそちらをご参照ください。 https://www.securesoft.co.jp/news_mt/docs/TR17-12_20171129.pdf
Windowsの標準機能であるPowerShellを用いているので従来のセキュリティ製品では検知されにくい特徴があります。
以前に弊社のグループ企業であるセキュアソフトのセキュリティニュースにおいて取り上げておりますので、詳しくはそちらをご参照ください。 https://www.securesoft.co.jp/news_mt/docs/TR17-12_20171129.pdf
3.2 “.SettingContent-ms” ファイルの利用
今年の7月、 ”.SettingContent-ms” というファイル拡張子を利用した攻撃が可能であることが話題となりました。
”.SettingContent-ms” ファイルは「設定」ページへのショートカットを作成する目的で使用されますが、中身のXML形式のファイルを書き換えることで任意のPowerShellの実行などが可能になります。攻撃者は細工を施した当該ファイルをWord文書に埋め込むなどして、マルウェアのダウンロードおよび実行を企図します。この攻撃はマクロ機能を使用していない点が特徴です。
”.SettingContent-ms” ファイルは「設定」ページへのショートカットを作成する目的で使用されますが、中身のXML形式のファイルを書き換えることで任意のPowerShellの実行などが可能になります。攻撃者は細工を施した当該ファイルをWord文書に埋め込むなどして、マルウェアのダウンロードおよび実行を企図します。この攻撃はマクロ機能を使用していない点が特徴です。
なお、当該脆弱性(CVE-2018-8414)はMicrosoftより更新プログラムが公開されており、Windows Updateを実施している場合は正規のフォルダ以外から ”.SettingContent-ms” ファイルを実行することができなくなっています。
【図4】正規のフォルダ以外から ”.SettingContent-ms” ファイルを実行した際に表示されるエラーメッセージ
3.3 “.iqy” ファイルの利用
今年の8月には、 “.iqy” ファイルが添付された不審なメールが国内で確認されました。 “.iqy” ファイルはMicrosoft Office クエリファイルのことで、WebサイトからExcelにデータを取り込む機能を持っています。
攻撃者はこのファイルを悪用し、ユーザが開くとExcelが起動し、マルウェアのダウンロードが行われるよう細工を施します。
なお、 “.iqy” ファイルを開く際と、コマンドプロンプト実行時の二回にわたり警告メッセージが表示されるため、気を付けていれば感染に至ることはありません。一方で、 “.iqy” ファイルでは「保護ビュー」が機能しないため、その点は注意が必要です。
攻撃者はこのファイルを悪用し、ユーザが開くとExcelが起動し、マルウェアのダウンロードが行われるよう細工を施します。
なお、 “.iqy” ファイルを開く際と、コマンドプロンプト実行時の二回にわたり警告メッセージが表示されるため、気を付けていれば感染に至ることはありません。一方で、 “.iqy” ファイルでは「保護ビュー」が機能しないため、その点は注意が必要です。
【図5】 “.iqy” ファイルを開いた際に表示されるメッセージ
また、拡張子 “.slk”のファイルにおいても「保護ビュー」を経ずにExcelを起動させる同様の手法が確認されています。
3.4 “.com” ファイルの利用
Cofense によると、10月から拡張子 ”.com” のファイルを使用したフィッシングメールが増加傾向にあると言います。 ”.com” はMS-DOSにおいて実行ファイルとして利用されていた拡張子の1つであり、互換性のため現在のWindowsでも起動が可能となっています。ドメインで使用される ”.com” (commercial) とは無関係のため、実行してしまわないようにしましょう。
4 共通する対策
● 不審なメールの添付ファイルは開かない。
● OSやアプリケーション、セキュリティ製品を常に最新の状態にする。
● 信頼できないメールに添付されたWord文書やExcelファイルを開いた際、「保護ビュー」で閲覧する。
● マクロに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンは
● OSやアプリケーション、セキュリティ製品を常に最新の状態にする。
● 信頼できないメールに添付されたWord文書やExcelファイルを開いた際、「保護ビュー」で閲覧する。
● マクロに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンは
クリックしない。
● 身に覚えのない警告メッセージが表示された際、警告の意味が分からない場合は操作を中断する。
● 本記事で紹介したような “.rtf” や” .iqy” といった拡張子ファイルを通常業務で使用しない場合、Wordや
● 身に覚えのない警告メッセージが表示された際、警告の意味が分からない場合は操作を中断する。
● 本記事で紹介したような “.rtf” や” .iqy” といった拡張子ファイルを通常業務で使用しない場合、Wordや
Excelのセキュリティ機能でファイル制限をかけておく。
なお、このような対策を行っていたとしても、今後新たな手法が発見されたりメールや添付ファイルの文章が巧妙であったりする場合には、感染を許してしまうケースは発生するでしょう。
その際にマルウェアを検知・防御できるよう最新鋭のセキュリティ製品を導入し、適切に運用するとともに、いち早く感染に気付けるような監視体制を徹底しておくことが肝要です。
その際にマルウェアを検知・防御できるよう最新鋭のセキュリティ製品を導入し、適切に運用するとともに、いち早く感染に気付けるような監視体制を徹底しておくことが肝要です。
5 e-Gateの活用について
サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。SSKの総合セキュリティサービス「e-Gate」では、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。「e-Gate」のセキュリティ監視サービスをご活用頂くことにより迅速なセキュリティインシデント対応が可能となります。
■総合セキュリティサービス「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC“e-Gateセンター“この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/wp/e-gate/
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC“e-Gateセンター“この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/wp/e-gate/
6 参考情報
● 独立行政法人情報処理推進機構(IPA)
情報セキュリティ10大脅威 2018 組織編
https://www.ipa.go.jp/files/000066223.pdf
【参考資料】IQYファイルを悪用する攻撃手口に関する注意点
https://www.ipa.go.jp/files/000068065.pdf
情報セキュリティ10大脅威 2018 組織編
https://www.ipa.go.jp/files/000066223.pdf
【参考資料】IQYファイルを悪用する攻撃手口に関する注意点
https://www.ipa.go.jp/files/000068065.pdf
● Cymulate
Abusing Microsoft Office Online Video
https://blog.cymulate.com/abusing-microsoft-office-online-video
Abusing Microsoft Office Online Video
https://blog.cymulate.com/abusing-microsoft-office-online-video
● Microsoft
CVE-2018-8414 | Windows Shell のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8414/
※上記URLの閲覧には利用規約への同意が必要です
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8414/
※上記URLの閲覧には利用規約への同意が必要です
● Cofense
Phishing Emails with .COM Extensions Are Hitting Finance Departments
https://cofense.com/phishing-emails-com-extensions-hitting-finance-departments/
Phishing Emails with .COM Extensions Are Hitting Finance Departments
https://cofense.com/phishing-emails-com-extensions-hitting-finance-departments/
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp