「画像ファイルは安全なファイル形式」。多くの人はそう思うだろう。だが今回、画像ファイルにマルウエア(コンピューターウイルス)を潜ませるサイバー攻撃が確認された。マルウエア入りの画像ファイルをインターネットからダウンロードさせて、そのマルウエアをパソコンに感染させるのだ。
目的はセキュリティーソフトの回避。この画像ファイルが確認された時点では、ほとんどのセキュリティーソフトが検知できなかったという。またほとんどの人は画像ファイルにマルウエアが潜んでいるとは思わないので、原因究明を困難にする。
一体、どのような攻撃なのだろうか。
悪質なOfficeファイルがトリガー
今回の攻撃は、米国のセキュリティー企業であるSecuronixが2022年8月末に報告した。
注意してほしいのが、画像ファイルにマルウエアが含まれているのは確かだが、画像ファイルを表示させても感染はしないということ。画像ファイルはマルウエアの隠れみのに使われている。
攻撃のトリガーとなるのは、Emotetなどのマルウエアと同様にOfficeファイルである。Securonixが確認したのは「Geos-Rates.docx」というWordファイルだった。送信元を詐称したメールに添付されていたという。
このWordファイルを開くと、「form.dotm」というテンプレートファイルがインターネットからダウンロードされる。
このテンプレートファイルのマクロには、「特定のWebサイトから画像ファイルをダウンロードする」「Windowsの標準コマンドcertutilを使って、画像ファイルからデジタル証明書を抜き出して別のファイルにする」「そのファイルを実行する」といった命令が難読化されて含まれている。
このためWordのマクロを有効にすると、これらの命令が順次実行される。
ジェームズ・ウェッブ宇宙望遠鏡の画像を悪用
まず、攻撃者のWebサイトから画像ファイルがダウンロードされる。この画像ファイルは、2022年7月中旬に米航空宇宙局(NASA)が公開した「SMACS 0723」の画像を基にしている。
SMACS 0723は地球から約46億光年離れたところにある銀河団。赤外線観測用宇宙望遠鏡のジェームズ・ウェッブ宇宙望遠鏡で観測された。話題になった画像なので、見たことのある人は多いだろう。
この画像ファイルにマルウエアが埋め込まれている。マルウエアはBase64という方式で英数字の文字列に変換されて、画像ファイルのデジタル証明書として埋め込まれている。
