「犯罪者のExcel離れ」で狙われ始めた“あのファイル”：Excelは”凶器“なのか【後編】

攻撃者はマルウェア感染の手段として使いにくくなった「Excel」から離れて、別の手段を模索し始めている。目を付けたのは、Excelファイルと同様に身近な存在である“あのファイル”だ。

[Shaun Nichols，TechTarget]

　PCにマルウェアを忍び込ませる手段として、攻撃者はMicrosoftの表計算ツール「Microsoft Excel」を“重宝”してきた。セキュリティベンダーHornetsecurityによると、MicrosoftがExcelに加えた変更により、メール攻撃を仕掛ける攻撃者の間で“Excel離れ”が広がっている。こうした中、マルウェア感染のために攻撃者が使う手段に変化が生じ始めているという。

「犯罪者のExcel離れ」で“あのファイル”が狙われ始めた

併せて読みたいお薦め記事

連載：Excelは”凶器“なのか

• 前編：もう止まらない「犯罪者のExcel離れ」

連載：“脱Excel”か“活Excel”か

• Excel新関数「LET」は便利なのか？　それとも“初心者お断り”なのか？
• Excel関数「XLOOKUP」は何がすごいのか　「VLOOKUP」との違いとメリット

　Microsoftは表計算ツール「Microsoft Excel」のセキュリティ機能を強化し、標準設定でマクロ実行を無効にした。Excelマクロは、PCにマルウェアを忍び込ませるための手段として、攻撃者の間で広く利用されてきた。Excelの変更を受けて、攻撃者はPCにマルウェアを感染させるために、より複雑な手口を採用することが必要になった。

　こうした中、情報窃取型マルウェア「Qakbot」の感染経路として、「HTMLスマグリング」「DLLサイドローディング」といった手口が目立ち始めている。HTMLスマグリングとは、正常なHTMLファイルの中に悪意のあるプログラムを隠す手口だ。DLLサイドローディングとは、正規ファイルを偽装して悪意のあるDLLファイルをOSに読み込ませる手口を指す。

　Hornetsecurityによると、Qakbotの感染を狙う攻撃者は、PDFファイルに偽装したHTMLファイルをメールに添付。攻撃対象にPDFビュワー（PDFファイル閲覧ソフトウェア）を装ったZIPファイルをダウンロードするように促す。このZIPファイルにあるペイロード（マルウェアの実行を可能にするプログラム）は、Qakbotの実行に必要なDLLファイルを自動的にインストールする。

　攻撃者が、利用する技術や戦術を変更するのは珍しいことではない。Qakbotを利用する攻撃者は、MicrosoftがExcelに加えたマクロ実行無効化という新しいセキュリティ対策をくぐり抜けるために「思い切った行動を取った」と、Hornetsecurityの研究者は指摘する。

　HornetsecurityのCEOであるダニエル・ホフマン氏は、HTMLスマグリングやDLLサイドローディングといった手口に対して「検出の回避に有効で、より多くのPCをQakbotに感染させることを可能にする」と説明する。ただし攻撃者は「マルウェア対策ソフトウェアによる検出から逃れるために、回避技術を更新し続けなければならない」と付け加える。

　「今後、Qakbotの感染経路にわずかな変更が見られる可能性がある」とホフマン氏はみる。例えば悪意のあるプログラムを隠す手段として、HTML形式以外のファイルを使うなどだ。

　Microsoftが下したマクロ実行無効化の決断は、少なくとも短期的には、Excelを悪用した攻撃の量を減少させる効果があったとみられる。ただし「当面の間は、Excelはマルウェアを拡散させるための一般的な手段であり続ける可能性が高い」とホフマン氏は考える。同氏は「フィッシング（情報窃取型詐欺）メールに添付されるExcelファイル数は減少したものの、Excelファイルそのものの危険性は依然として問題だ」と強調。悪意のあるExcelファイルを配布するために、攻撃者は戦略を修正し続けるとみる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。