全2859文字
PR

 「画像ファイルは安全なファイル形式」。多くの人はそう思うだろう。だが今回、画像ファイルにマルウエア(コンピューターウイルス)を潜ませるサイバー攻撃が確認された。マルウエア入りの画像ファイルをインターネットからダウンロードさせて、そのマルウエアをパソコンに感染させるのだ。

 目的はセキュリティーソフトの回避。この画像ファイルが確認された時点では、ほとんどのセキュリティーソフトが検知できなかったという。

 またほとんどの人は画像ファイルにマルウエアが潜んでいるとは思わないので、原因究明を困難にする。

 一体、どのような攻撃なのだろうか。

悪質なOfficeファイルがトリガー

 今回の攻撃は、米国のセキュリティー企業であるセキュロニクスが2022年8月末に報告した

 注意してほしいのが、画像ファイルにマルウエアが含まれているのは確かだが、画像ファイルを表示させても感染はしないということ。画像ファイルはマルウエアの隠れみのに使われている。

 攻撃のトリガーとなるのは、「Emotet」などのマルウエアと同様にOfficeファイルである(図1)。セキュロニクスが確認したのは「Geos-Rates.docx」というWordファイルだった。送信元を詐称したメールに添付されていたという。

図1●今回確認されたマルウエア攻撃の流れ
図1●今回確認されたマルウエア攻撃の流れ
メールに添付されたWordファイルを開くとテンプレートファイルがダウンロードされる。マクロを有効にするとテンプレートファイル中のプログラムが実行されて画像ファイルをダウンロードし、マルウエアを抽出および実行する。
[画像のクリックで拡大表示]

 このWordファイルは、開かれるとインターネット上のサーバーにアクセスして、「form.dotm」というテンプレートファイルをダウンロードする。

 このテンプレートファイルのマクロには、「特定のWebサイトから画像ファイルをダウンロードする」「Windowsの標準コマンドcertutilを使って、画像ファイルからデジタル証明書を抜き出して別のファイルにする」「そのファイルを実行する」といった命令が難読化されて含まれている。

 このためWordのマクロを有効にすると、これらの命令が順次実行される。