「Microsoft Office」の脆弱性を悪用するマルウェアが拡散中

Danny Palmer (ZDNET.com) 翻訳校正: 編集部2018年01月22日 13時48分

 ハッカーが「Microsoft Office」の脆弱性を悪用して、マルウェアを拡散している。このマルウェアは、ログイン情報を盗んだり、追加のマルウェアを投下したり、分散型サービス妨害(DDoS)攻撃を行うという高度なものだ。マルウェアは2016年からアクティブで、高機能ながら地下フォーラムでは75ドル(約8300円)から購入できる。

 FireEyeの研究者が、スパムメールを経由してマルウェア配信を試みる新しい攻撃キャンペーンを展開していることを確認した。このキャンペーンは、通信、保険、金融サービスなどの業界を狙ったもので、最近発見されたMicrosoft Officeの脆弱性を悪用している。

 フィッシングメールはターゲットに関連がある内容で、悪意あるドキュメント(「.DOC」形式)が入ったZIPファイルを含み、ユーザーに開封を奨励する文言が並ぶ。ドキュメントファイルにアクセスすると、Officeの脆弱性によりPowerShellベースのペイロードが走り出し、感染してしまう。


フィッシングに使用されるドキュメントの例
提供:FireEye

 ここで利用されている脆弱性の1つがCVE-2017-11882だ。2017年11月に開示された脆弱性で、悪意を持って改変したファイルが開かれると任意のコードを走らせることができる。今回のキャンペーンでは、この脆弱性は悪意ある添付ファイルに保存されているURLを使って追加のダウンロードをトリガーできる。ダウンロードには、マルウェアを投下するPowerShellスクリプトが含まれる。

 また、Microsoft .NET Frameworkが信用されていないインプットを処理するときに、攻撃者が感染したシステムを乗っ取ることができるという脆弱性CVE-2017-8759も利用する。この場合、フィッシングメールに添付されているDOCファイルに組み込まれたOLEオブジェクトが含まれており、これが保存されたURLをトリガーしてPowerShellプロセスをスタートさせる。CVE-2017-8759は9月に開示され、すぐにパッチが発行されている。

 マルウェアは攻撃者に、「Google Chrome」や「Internet Explorer」などのよく閲覧されるウェブブラウザや、FTPアプリケーション、電子メールアカウントからパスワードを盗む機能を提供する。

 Microsoft Officeを利用するユーザーは、CVE-2017-11882とCVE-2017-8759の両方の脆弱性に対するパッチを適用しているかどうかを確認しておきたい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]