「HTML」「PDF」を悪用――調査で分かった2023年“人気”のサイバー攻撃変化するサイバー攻撃手法【第3回】

攻撃者は常に新しい攻撃手法に目を向けている。セキュリティベンダーの調査を基に、近年拡大する攻撃手法として、「HTML」や「PDF」を悪用する手法を解説する。

2023年07月05日 05時15分 公開
[Alex ScroxtonTechTarget]

 サイバー攻撃者は同じ攻撃手法を使い続けるのではなく、常に新しい攻撃手法に目を向けている。メールセキュリティベンダーProofpointが2023年5月に公表した、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」は、近年ある攻撃手法が拡大している状況を明らかにした。どのような手法なのか。

「HTML」「PDF」をどのように悪用するのか

 報告書は、Proofpointの研究者が2021年1月〜2023年3月の攻撃キャンペーン(一連の攻撃)を調査した結果をまとめたものだ。報告書によると、2022年半ばから「HTMLスマグリング」というサイバー攻撃手法が拡大している。HTMLスマグリングの仕組みは次の通りだ。

  1. 攻撃者が、マークアップ(文章構成)言語の「HTML」で記述されたファイルに、暗号化したスクリプト(簡易プログラム)を隠し入れる
  2. 標的のWebブラウザが、細工済みのHTMLファイルを開く
  3. Webブラウザがスクリプトをデコード(復号)する
  4. スクリプトが稼働し、マルウェアのペイロード(マルウェアを実行可能にするプログラム)を構築する

 Proofpointが調査を通じて観測したHTMLスマグリングの使用件数は、2022年6月は5件以下だったが、同年10月には40件以上と急増した。2023年1月には10件未満に減少したものの、同年2月には20件と再び増加傾向を見せた。特にHTMLスマグリングを頻繁に使用しているのが、Proofpointが追跡する脅威グループ「TA577」だ。TA577はロシア語を用いて、さまざまな地域や企業を対象に幅広い標的型攻撃を実施する。TA577は、マクロ(アプリケーション自動操作機能)を介してランサムウェア(身代金要求型マルウェア)を拡散している。従来は「Sodinokibi」(別名REvil)を拡散していたが、昨今は別のランサムウェア「Black Basta」を拡散する手法に移行したという。

 近年拡大する別の攻撃手法が、PDFファイルの悪用だ。攻撃者は悪意あるURLを記載したPDFファイルを標的に送り付け、マルウェアを拡散させる。2022年12月、イニシャルアクセスブローカー(IAB:標的への不正アクセス手段を攻撃者に提供する仲介人)を含む複数の攻撃グループが、PDFファイルを悪用し始めた。2023年2月には使用数がほぼ倍増している。


 第4回は、攻撃手法の変化が高速化している状況を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news055.jpg

トランプ氏当選でイーロン・マスク氏に追い風 過去最高の投稿数達成でXは生き延びるか?
2024年の米大統領選の当日、Xの利用者数が過去最高を記録した。Threadsに流れていたユー...

news104.jpg

トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...

news190.jpg

インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...