「HTML」「PDF」を悪用――調査で分かった2023年“人気”のサイバー攻撃変化するサイバー攻撃手法【第3回】

攻撃者は常に新しい攻撃手法に目を向けている。セキュリティベンダーの調査を基に、近年拡大する攻撃手法として、「HTML」や「PDF」を悪用する手法を解説する。

2023年07月05日 05時15分 公開
[Alex ScroxtonTechTarget]

 サイバー攻撃者は同じ攻撃手法を使い続けるのではなく、常に新しい攻撃手法に目を向けている。メールセキュリティベンダーProofpointが2023年5月に公表した、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」は、近年ある攻撃手法が拡大している状況を明らかにした。どのような手法なのか。

「HTML」「PDF」をどのように悪用するのか

 報告書は、Proofpointの研究者が2021年1月〜2023年3月の攻撃キャンペーン(一連の攻撃)を調査した結果をまとめたものだ。報告書によると、2022年半ばから「HTMLスマグリング」というサイバー攻撃手法が拡大している。HTMLスマグリングの仕組みは次の通りだ。

  1. 攻撃者が、マークアップ(文章構成)言語の「HTML」で記述されたファイルに、暗号化したスクリプト(簡易プログラム)を隠し入れる
  2. 標的のWebブラウザが、細工済みのHTMLファイルを開く
  3. Webブラウザがスクリプトをデコード(復号)する
  4. スクリプトが稼働し、マルウェアのペイロード(マルウェアを実行可能にするプログラム)を構築する

 Proofpointが調査を通じて観測したHTMLスマグリングの使用件数は、2022年6月は5件以下だったが、同年10月には40件以上と急増した。2023年1月には10件未満に減少したものの、同年2月には20件と再び増加傾向を見せた。特にHTMLスマグリングを頻繁に使用しているのが、Proofpointが追跡する脅威グループ「TA577」だ。TA577はロシア語を用いて、さまざまな地域や企業を対象に幅広い標的型攻撃を実施する。TA577は、マクロ(アプリケーション自動操作機能)を介してランサムウェア(身代金要求型マルウェア)を拡散している。従来は「Sodinokibi」(別名REvil)を拡散していたが、昨今は別のランサムウェア「Black Basta」を拡散する手法に移行したという。

 近年拡大する別の攻撃手法が、PDFファイルの悪用だ。攻撃者は悪意あるURLを記載したPDFファイルを標的に送り付け、マルウェアを拡散させる。2022年12月、イニシャルアクセスブローカー(IAB:標的への不正アクセス手段を攻撃者に提供する仲介人)を含む複数の攻撃グループが、PDFファイルを悪用し始めた。2023年2月には使用数がほぼ倍増している。


 第4回は、攻撃手法の変化が高速化している状況を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news026.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年7月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news136.jpg

「Vポイント」「Ponta」と連携したCTV向けターゲティング広告配信と購買分析 マイクロアドが提供開始
マイクロアドは、VポイントおよびびPontaと連携したCTV向けのターゲティング広告配信を開...

news105.jpg

Netflixの広告付きプランが会員数34%増 成長ドライバーになるための次のステップは?
Netflixはストリーミング戦略を進化させる一方、2022年に広告付きプランを立ち上げた広告...