新手の標的型メール、検出回避にWordの正規機能を悪用

Wordの標準機能を使って不正サイトに接続させる手口を使った標的型攻撃メールが見つかった。

[ITmedia]

　トレンドマイクロは3月20日、Microsoft Office Wordの標準機能を巧妙に使う標的型攻撃メールを確認したと発表した。不正な点がほとんど見られず、検出が難しいという。

　同社が匿名者から得たという標的型攻撃メールには、会計報告書などのファイル名が付いた3つのWordファイルが添付され、うち2つのファイルは裏側で外部の不正サイトと通信をしていた。しかし、解析では不正サイトへ接続するマクロや、脆弱性を悪用する点などは見当たらず、ファイル内の画像に挿入されたハイパーリンクから接続する仕組みであることが分かったという。

新たな手口を使った標的型メール（トレンドマイクロより）

　Wordは標準機能でファイルに画像を埋め込んだり、ローカルや外部のファイルに画像をリンクさせたりできる。攻撃者は標準機能を使ってファイルを細工し、受信者のコンピュータを不正サイトに接続させることを狙った可能性がある。

　同社は、不正なマクロや脆弱性悪用などの不正な活動がファイル上で行われないため、ファイルベースの検出は難しいと指摘。初期設定でこれらの機能が有効になっており、ハイパーリンクも表示されないことから、ユーザーは気が付きにくいという。また接続先がブラックリストに登録された不正サイトであれば、コンピュータ側のセキュリティ機能でユーザーに警告できる可能性もあるが、登録がない場合は警告できない。

Wordの標準機能を使うことから検知が難しい（同）

　対策ついては、送信者が信頼できる相手かどうか必ず確認し、不正なURLをブロックしてネットワークを監視することが最善だとしている。