最近シマンテックは、パスワードで保護された PDF や Word などの文書ファイルを利用するマルウェアが存在することを確認しました。このマルウェアは、電子メールの添付ファイルとして、限定的な標的型攻撃で使われています。
文書ファイルにパスワードを利用する本来の目的は、パスワードを設定して暗号化することによってファイルへの不正なアクセスを防ぐことにあります。ところが今回の攻撃者は、このパスワード機能を悪用してファイルを暗号化し、セキュリティ製品によるマルウェア検出をすり抜けようとしています。また、解析するにはファイルの復号が必要なので、リバースエンジニアリングも難しくなります。
このようなマルウェアは、それ自体が特別なものではありません。典型的な標的型攻撃で使われている一般的な添付ファイルと異なるのは、開くときにパスワードを要求されるという点だけです。各種のオフィススイートソフトウェアには、パスワード暗号化の機能があるので、この種の攻撃に使われる形式は文書ファイルに限りません。ワープロソフトウェアのファイルだけでなく、表計算やプレゼンテーションなどのソフトウェアのファイルも悪用される可能性があります。
これまでにも、パスワードで保護されたメール添付ファイルはたびたび出現しましたが、通常はアーカイブファイルでした。添付ファイル自体が検出されるのではなく、アーカイブ内のファイルが、抽出されたときに検出されるのです。ところが今回の攻撃の場合は、添付ファイルそのものが、パスワードで保護された、すなわち暗号化されたファイルです。もちろん、シマンテックのセキュリティ製品は従来型とプロアクティブ方式の検出技術を使って、投下あるいはダウンロードされたファイルを、他の攻撃のファイルと同じように検出しますが、パスワードで保護された文書が迷惑メールに添付されている場合は、この新しい手口にご注意ください。
攻撃者は次々と新しい手口をレパートリーに加えていますが、多層型の防御を使っているかぎり、一般の標的型攻撃より感染のリスクが高くなることはありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。