破損したMicrosoft Wordファイルを利用した新たなフィッシング攻撃の手法

破損したMicrosoft Wordファイルを利用した新たなフィッシング攻撃の手法

マルウェアハンティング会社Any.Runは新しいフィッシング手法として、破損した Word 文書を添付ファイルとして悪用し、Microsoft Word の「ファイル回復」機能を通じて攻撃を実行する方法を注意喚起しました。この攻撃は、セキュリティソフトウェアによる検出を回避しながら、被害者をフィッシングサイトに誘導するものです。

破損したMicrosoft Wordファイルを利用したフィッシング攻撃の手法の概要

この攻撃キャンペーンは給与部門や人事部門を装ったフィッシングメールの添付ファイルとして、意図的に破損した Word 文書が使用されています。

ANY.RUN の調査によると、このゼロデイ攻撃キャンペーンは少なくとも 2024 年 8 月から活動しています。

破損した Word 文書を利用する事で、 Microsoft の Word ファイル回復機能を悪用し、破損した状態のためセキュリティ ソフトウェアを回避しながらも、アプリケーションによって回復可能な状態にします。

攻撃の手順

1. 攻撃の開始

  • メール添付ファイル
    攻撃者は、ZIPファイルやMS Officeドキュメント(例:Wordファイル)として悪意のあるファイルを送信します。このファイルは意図的に「破損している」ように見せかけられています。

    • 添付ファイルの例として、「不正なZIPファイルヘッダー」が含まれています。

2. ファイルの復元プロセスを悪用

  • ファイルを開くと、Microsoft Wordが「破損した内容」を検知し、ユーザーに「復元」を促します。なおファイルは完全に機能しており、意図したプログラムで開くと悪意のあるコードが実行されます。
  • ユーザーが「はい」を選択すると、Wordはファイルを復元しようとします。

3. 復元のトリック

  • Wordは、破損したファイル内の有効なデータを解析します。
  • ZIPヘッダー情報や、圧縮サイズ・非圧縮サイズなどを利用してファイルを復元します。
  • この際、「中央ディレクトリの終了(EOCD)」シグネチャを特定し、アーカイブ内の重要な情報を復元します。

4. 復元後の攻撃成立

  • Wordの組み込み復元メカニズムを使用することで、悪意のあるファイルが正常なファイルとして復元されます。
  • 復元されたファイルは、アンチウイルスソフトやセキュリティサンドボックス、Outlookのスパムフィルターを回避し、最終的に攻撃者の意図通りに動作します。

5. セキュリティソリューションの限界

  • この手法では、多くのセキュリティソリューションがファイルを「正常」として処理し、脅威を見逃します。
  • VirusTotalなどの検査ツールでも、「アイテムが見つからない」や「問題なし」と表示される場合があります。

 

TOPへ