「画像ファイルは安全なファイル形式」。多くの人はそう思うだろう。だが今回、画像ファイルにマルウエア(コンピューターウイルス)を潜ませるサイバー攻撃が確認された。マルウエア入りの画像ファイルをインターネットからダウンロードさせて、そのマルウエアをパソコンに感染させるのだ。
目的はセキュリティーソフトの回避。この画像ファイルが確認された時点では、ほとんどのセキュリティーソフトが検知できなかったという。
またほとんどの人は画像ファイルにマルウエアが潜んでいるとは思わないので、原因究明を困難にする。
一体、どのような攻撃なのだろうか。
悪質なOfficeファイルがトリガー
今回の攻撃は、米国のセキュリティー企業であるセキュロニクスが2022年8月末に報告した▼。
注意してほしいのが、画像ファイルにマルウエアが含まれているのは確かだが、画像ファイルを表示させても感染はしないということ。画像ファイルはマルウエアの隠れみのに使われている。
攻撃のトリガーとなるのは、「Emotet」などのマルウエアと同様にOfficeファイルである(図1)。セキュロニクスが確認したのは「Geos-Rates.docx」というWordファイルだった。送信元を詐称したメールに添付されていたという。
このWordファイルは、開かれるとインターネット上のサーバーにアクセスして、「form.dotm」というテンプレートファイルをダウンロードする。
このテンプレートファイルのマクロには、「特定のWebサイトから画像ファイルをダウンロードする」「Windowsの標準コマンドcertutil▼を使って、画像ファイルからデジタル証明書を抜き出して別のファイルにする」「そのファイルを実行する」といった命令が難読化▼されて含まれている。
このためWordのマクロを有効にすると、これらの命令が順次実行される。
