「HTML」「PDF」を悪用――調査で分かった2023年“人気”のサイバー攻撃：変化するサイバー攻撃手法【第3回】

攻撃者は常に新しい攻撃手法に目を向けている。セキュリティベンダーの調査を基に、近年拡大する攻撃手法として、「HTML」や「PDF」を悪用する手法を解説する。

[Alex Scroxton，TechTarget]

　サイバー攻撃者は同じ攻撃手法を使い続けるのではなく、常に新しい攻撃手法に目を向けている。メールセキュリティベンダーProofpointが2023年5月に公表した、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」は、近年ある攻撃手法が拡大している状況を明らかにした。どのような手法なのか。

「HTML」「PDF」をどのように悪用するのか

併せて読みたいお薦め記事

連載：変化するサイバー攻撃手法

• 第1回：Microsoft Officeの「マクロ原則ブロック」がもたらした利点と“想定外の変化”
• 第2回：「Officeマクロ」原則ブロックが生んだのは“安全性だけ”ではなかった

ランサムウェアから身を守るために

• 「リモートデスクトッププロトコル」（RDP）を“危険にしない”10項目
• ランサムウェア攻撃が収まらない“甘くない現実”　対処すべき問題はこれだ

　報告書は、Proofpointの研究者が2021年1月〜2023年3月の攻撃キャンペーン（一連の攻撃）を調査した結果をまとめたものだ。報告書によると、2022年半ばから「HTMLスマグリング」というサイバー攻撃手法が拡大している。HTMLスマグリングの仕組みは次の通りだ。

1. 攻撃者が、マークアップ（文章構成）言語の「HTML」で記述されたファイルに、暗号化したスクリプト（簡易プログラム）を隠し入れる
2. 標的のWebブラウザが、細工済みのHTMLファイルを開く
3. Webブラウザがスクリプトをデコード（復号）する
4. スクリプトが稼働し、マルウェアのペイロード（マルウェアを実行可能にするプログラム）を構築する

　Proofpointが調査を通じて観測したHTMLスマグリングの使用件数は、2022年6月は5件以下だったが、同年10月には40件以上と急増した。2023年1月には10件未満に減少したものの、同年2月には20件と再び増加傾向を見せた。特にHTMLスマグリングを頻繁に使用しているのが、Proofpointが追跡する脅威グループ「TA577」だ。TA577はロシア語を用いて、さまざまな地域や企業を対象に幅広い標的型攻撃を実施する。TA577は、マクロ（アプリケーション自動操作機能）を介してランサムウェア（身代金要求型マルウェア）を拡散している。従来は「Sodinokibi」（別名REvil）を拡散していたが、昨今は別のランサムウェア「Black Basta」を拡散する手法に移行したという。

　近年拡大する別の攻撃手法が、PDFファイルの悪用だ。攻撃者は悪意あるURLを記載したPDFファイルを標的に送り付け、マルウェアを拡散させる。2022年12月、イニシャルアクセスブローカー（IAB：標的への不正アクセス手段を攻撃者に提供する仲介人）を含む複数の攻撃グループが、PDFファイルを悪用し始めた。2023年2月には使用数がほぼ倍増している。

---

　第4回は、攻撃手法の変化が高速化している状況を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。