Microsoft Officeでマクロ自動実行はNG？ “あれ”があったら要注意：NASAの画像を悪用したサイバー攻撃【後編】

NASAのジェームズ・ウェッブ望遠鏡が撮影した画像を悪用したサイバー攻撃が発見された。この攻撃では“珍しい手法”を用いるという。その内容とは。

[Alex Scroxton，TechTarget]

　セキュリティベンダーSecuronixは同社の公式ブログで、NASA（米航空宇宙局）のジェームズ・ウェッブ望遠鏡が撮影した画像を悪用するサイバー攻撃について解説した。同社のアナリストであるデン・ルズビック氏、ティム・ペック氏、オレグ・コレスニコフ氏は、この攻撃を「GO#WEBBFUSCATOR」と呼び、珍しい手法を用いる攻撃だと説明する。

「GO#WEBBFUSCATOR」の攻撃手法とは　“あれ”に要注意

併せて読みたいお薦め記事

連載：NASAの画像を悪用したサイバー攻撃

• 前編：プログラミング言語「Go」で書かれたマルウェアはなぜ攻撃者に人気なのか

VBAマクロ関連の注目記事

• 「VBAマクロ原則ブロック」一時撤回をMicrosoftに決断させた“真犯人”とは？
• Microsoftの「VBAマクロ」原則ブロックを専門家が称賛　中には“苦言”も

　GO#WEBBFUSCATORは、侵入したネットワークに遠隔でアクセス可能な状態になる「リモートアクセス型トロイの木馬」（RAT）だ。攻撃用サーバであるコマンド＆コントロール（C2）サーバに接続して、ペイロード（マルウェアの実行を可能にするプログラム）を送り込んで以下を実行する。

• 標的となるシステムを制御するための、暗号化した通信の確立
• パスワードを含むアカウント情報や、財務情報といった機密データの窃取

　Securonixは、GO#WEBBFUSCATORのTTP（戦術、技術、手順）に深い関心を示す。「NASAの公式画像とコマンドラインプログラム『certutil.exe』を使用して、プログラミング言語『Go』のバイナリファイルを構築する手法は珍しい」と、同社はブログに記載している。

　「バイナリファイルの制作者は、フォレンジック（サイバー攻撃の法的証拠の収集）と、EDR（Endpoint Detection and Response）によるエンドポイントセキュリティの両方を念頭に置いてペイロードを設計したことが明らかだ」。Securonixはこう見解を示す。

　セキュリティ情報サイト「ProPrivacy」のデジタルプライバシー専門家であるレイ・ウォルシュ氏は、ジェームズ・ウェッブ望遠鏡関連のメールには注意が必要だと述べる。「Microsoftのオフィスアプリケーション『Microsoft Office』のファイルがJPEG画像を含んでいる場合、悪意のあるペイロードが自動的に配信される可能性があるため、開いてはいけない」

　Microsoft Officeのマクロを自動的に実行するように設定していると、危険を招く場合がある。GO#WEBBFUSCATORのようなサイバー攻撃はその代表的な例だ。ウォルシュ氏は企業に対し、マクロ実行前に通知が表示されるように設定することを勧める。これにより、マルウェアのセルフインストールを防止できる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。