知って得するセキュリティのはなし その223
VBSマクロ実行、PDFファイルとして検知回避…新たな攻撃手法「MalDoc in PDF」に注意喚起
1.このニュースをざっくり言うと
- 8月22日(日本時間)、JPCERT/CCより、7月に発生した攻撃で利用された不正な文書データ形式についての解説と注意喚起が出されています。
- 「MalDoc in PDF」と名付けられた文書データは、PDF形式のファイルヘッダーの後ろに、Wordで実行される不正なVBSマクロ(厳密にはMHTML形式のデータ)を埋め込んだものとされています。
- 拡張子が「.doc」のものが確認されており、ファイルを開いた際にWordで処理され、VBSマクロが実行されることが意図されている一方、アンチウイルスでの解析時にはPDFとして検知され、またPDFビューアーで開いた場合にはスクリプト等が実行されないような形になっていることから、不正なファイルとしての検出を回避されやすい可能性があるとのことです。
2.執筆者からの所感等
- 類似した攻撃手法としては、Webアプリケーションにおけるクロスサイトスクリプティング(XSS)の一種として、HTMLではないテキストファイルや画像ファイル等に不正なスクリプトが実行されるようなHTMLのタグを埋め込み、ブラウザー上でこれをHTMLデータとして開くよう誘導するものも用いられていました。
- 解説では自動的なマルウェアチェックで当該ファイルがPDFとして扱われた場合に不正なファイルとして判定されない可能性について注意するよう呼び掛けている一方、悪性なWordファイル専用の分析ツールや、データに特定の文字列が含まれるかチェックする等により、不正なVBSマクロの検出は可能であるとしています。
- 各種アンチウイルス・UTM製品において、今後この攻撃手法が周知されることにより、適切に検出されるようになるものと期待されますが、手元のアンチウイルス等で反映されるようになるには、常時エンジンやパターンファイル等が最新バージョンに更新される状態である必要があることにも注意してください。
