リッチテキストファイルに実行可能ファイルを組み込む手口が最近多発。McAfeeがその理由を調べたところ、驚くべきことが分かったという。
リッチテキストファイルにOLEオブジェクトとしてマルウェアの実行可能ファイルを組み込む手口が最近多発しているという。その理由を調べたところ、驚くべきことが分かったと、米McAfeeがブログで報告した。
実行可能ファイルにはDOC、PDF、TXTといったファイルタイプのアイコンが付いており、信頼できる内容に見せかけ、ユーザーが実行するよう仕向けるメッセージが記載されている。
ゼロデイ攻撃が横行するこの時代になぜわざわざこんな古い手口を使うのか、疑問に思って調べたところ、ほとんどのウイルス対策ソフトでリッチテキストファイル形式を解析できないことが判明したという。
試しにウイルス対策ソフト用のテストファイル「EICAR.COM」を使い、リッチテキストフォーマットにこれを組み込んで、公開ウイルススキャンサービスのVirusTotalで検出されるかどうかを調べた。
その結果、EICAR.COMのテストファイルはそのままだとすべてのスキャナで検出されたが、リッチテキストファイルに組み込んだものを検出できたのは、30のスキャナのうち16だけだった。
つまり、既知のマルウェアでもリッチテキストファイルに組み込めば、市販のウイルス対策ソフトの半分は検出を免れてしまうことになる。ウイルス作者にとってはフィッシング詐欺やスパムで利用するのに好都合だとMcAfeeは警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.