So-net無料ブログ作成

文書ファイル悪用感染に新手口――誤操作でPC内ファイル暗号化のおそれ [ウィルス/不正アクセス]

 文書ファイルを悪用したマルウェア感染に、先月からDDE(本文中で解説)を悪用した新たな手口のものが見られるようになった。罠を仕掛けた文書ファイルは、国内のユーザーにもばらまかれている、ランサムウェアのキャンペーンメールから見つかっており、操作を誤るとパソコン内のファイルが暗号化されてしまうおそれがある。

 迷惑なこのキャンペーンメールでは、これまでJavaScriptファイル(.js)などのプログラムを、圧縮ファイル内に格納したものがよく使われていた。中のプログラムを開くと、外部からマルウェア本体をダウンロードし実行する手口だ。

 これに代わり10月中旬頃からは、Microsoft Wordの文書ファイル(.doc)を添付したものが見られるようになった。電気通信大学情報基盤センターのWebサイトで実際の事例が紹介されている。英文メールなので、開くことなくゴミ箱直行となるケース、迷惑メールフィルターがブロックしているケースも多いだろう。誤って文書ファイルを開いてしまっても、ただちに感染してしまうわけではないが、操作を誤ると感染活動が始まるので注意したい。今回の手口では、他の文書ファイルとは異なる警告メッセージが表示されるので、改めて解説しておく。

■文書ファイルを使う手口

 マルウェアに感染させる文書ファイルに仕掛けられた罠には、マクロやスクリプトと呼ばれるアプリのプログラミング機能を使用したものや、文書内に他の文書やスクリプト、ショートカットなどを埋め込んだものがある。いずれも、外部からマルウェア本体をダウンロードして実行するのが、細工した文書ファイルの役割だ。先月から頻発している新手口は、同様のことをWordの文書内に埋め込んだDDEフィールドで行う。

 DDE(Dynamic Data Exchange)は、アプリケーション間を連携するWindowsの仕組みのひとつで、アプリから特定のアプリにコマンドを送ったり、応答を受け取ったりすることができる。マルウェアメールに添付されていたWordの文書ファイルには、開いた際に自動的に他のファイルからデータを取得して更新する、DDEAUTOフィールドが埋め込まれており、アプリにコマンドを送る要領で、Windowsの標準機能「PowerShell」を使ってマルウェア本体をダウンロードして実行するコマンドを発行していた。

■感染には「ユーザーの関与」が必須

 WordやExcelには、インターネットからダウンロードしたファイルやメールの添付ファイルなどの外部から取得したファイルを開く際に、ほとんどの機能を無効にした「保護ビュー」という機能があり、ファイルを安全に開くようになっている。このモードでは、閲覧以外のほとんどすべての機能が無効なので、マクロや埋め込み、DDEは機能しない。

 保護ビューで開いた文書には、メッセージバーに「注意-インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、保護ビューのままにしておくことをお勧めします」というメッセージが表示される。「編集を有効にする」をクリックすると、保護ビューが解除されるので注意していただきたい。安全であることが分かっている場合以外は、解除してはいけない。

 文書内にマクロが仕掛けられている場合は、さらに「セキュリティの警告」が表示される。マクロは、「コンテンツの有効化」をクリックしなければ実行されず、感染には至らない。今回使用しているDDEの場合には、「この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?」というダイアログボックスが表示される。「いいえ」を選択すれば、更新を行わないので感染することはない。

 ここで「はい」をクリックすると、DDEを使ってフィールドを更新しようとするが、データは取得できず、「遠隔データ(○○○)はアクセスできません。アプリケーション△△△を起動しますか?」というダイアログボックスが表示される。△△△は起動するアプリ名、○○○はアプリに渡すコマンドだ。ここで「はい」をクリックしてしまうと、感染活動を行うコマンドが実行される。「いいえ」を選択すれば阻止できる

■自動更新の無効化と手動更新の方法

 文書ファイルを使った他の手口と同様、DDE攻撃もまたユーザーが数回クリックしなければ感染活動は始まらない。それでも心配だという方は、フィールドの自動更新を無効にしておくこともできる。

 Wordのオプションを開き、「詳細設定」を選択してスクロールして行くと「全般」の欄に「文書を開いたときにリンクを自動的に更新する」という項目がある。このチェックボックスのチェックを外しておくと、自動更新は行われない。更新したい場合には、フィールドを選択して[F9]を押すか、マウスの右クリックメニューから「フィールドを更新」を選択し、手動で更新する。フィールドが複数ある場合には、[Ctrl]+[A]で全フィールドを選択してから更新を実行すると、まとめて更新できる。

 なお、ソフォスの記事によると、リッチテキスト形式(RTF)のメールや予定表の招待状を使用してOutlookにDDE攻撃を仕掛けることができる可能性があるという。Outlookの場合には、保護ビューの解除ステップはないが、残り2種類のダイアログボックスが表示されるようなので、「いいえ」を選択すれば攻撃を阻止できる。

(2017/11/06 セキュリティ通信)

【関連URL】
・マクロを必要としない Microsoft Office の DDE 攻撃(ソフォス)
https://sophos-insight.jp/blog/20171030
・Microsoft Outlook DDE (別名 DDEAUTO) 攻撃(ソフォス)
https://community.sophos.com/kb/ja-jp/127711

<事例紹介:電気通信大学情報基盤センター>
【2017/10/19 20:20】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/10/20171019malwaremail.html
【2017/10/31 20:15】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/10/20171031malwaremail.html
【2017/11/1 9:55】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/11/20171101malwaremail.html
【2017/11/3 3:10】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/11/20171103malwaremail.html

【関連記事:セキュリティ通信】
・セキュリティトピックス:危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html
・クレカの請求案内装うマルウェアメールに注意――明細確認で感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-10-24
・「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々
http://security-t.blog.so-net.ne.jp/2017-10-12-1
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29
・請求書メールに注意、添付ファイルでマルウェア感染
http://security-t.blog.so-net.ne.jp/2017-09-01
・うっかり操作でマルウェア感染、IPAが文書ファイルの新たな悪用手口を解説
http://security-t.blog.so-net.ne.jp/2017-08-02
・日本郵便など騙るマルウェアメールに注意――添付ファイルで不正送金ウイルス感染
http://security-t.blog.so-net.ne.jp/2017-07-27-2
・Excelファイルの添付メールに注意、マルウェア感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-07-20
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染
http://security-t.blog.so-net.ne.jp/2017-06-05
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法
http://security-t.blog.so-net.ne.jp/2017-05-26