「HTML」「PDF」を悪用――調査で分かった2023年“人気”のサイバー攻撃変化するサイバー攻撃手法【第3回】

攻撃者は常に新しい攻撃手法に目を向けている。セキュリティベンダーの調査を基に、近年拡大する攻撃手法として、「HTML」や「PDF」を悪用する手法を解説する。

2023年07月05日 05時15分 公開
[Alex ScroxtonTechTarget]

 サイバー攻撃者は同じ攻撃手法を使い続けるのではなく、常に新しい攻撃手法に目を向けている。メールセキュリティベンダーProofpointが2023年5月に公表した、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」は、近年ある攻撃手法が拡大している状況を明らかにした。どのような手法なのか。

「HTML」「PDF」をどのように悪用するのか

 報告書は、Proofpointの研究者が2021年1月〜2023年3月の攻撃キャンペーン(一連の攻撃)を調査した結果をまとめたものだ。報告書によると、2022年半ばから「HTMLスマグリング」というサイバー攻撃手法が拡大している。HTMLスマグリングの仕組みは次の通りだ。

  1. 攻撃者が、マークアップ(文章構成)言語の「HTML」で記述されたファイルに、暗号化したスクリプト(簡易プログラム)を隠し入れる
  2. 標的のWebブラウザが、細工済みのHTMLファイルを開く
  3. Webブラウザがスクリプトをデコード(復号)する
  4. スクリプトが稼働し、マルウェアのペイロード(マルウェアを実行可能にするプログラム)を構築する

 Proofpointが調査を通じて観測したHTMLスマグリングの使用件数は、2022年6月は5件以下だったが、同年10月には40件以上と急増した。2023年1月には10件未満に減少したものの、同年2月には20件と再び増加傾向を見せた。特にHTMLスマグリングを頻繁に使用しているのが、Proofpointが追跡する脅威グループ「TA577」だ。TA577はロシア語を用いて、さまざまな地域や企業を対象に幅広い標的型攻撃を実施する。TA577は、マクロ(アプリケーション自動操作機能)を介してランサムウェア(身代金要求型マルウェア)を拡散している。従来は「Sodinokibi」(別名REvil)を拡散していたが、昨今は別のランサムウェア「Black Basta」を拡散する手法に移行したという。

 近年拡大する別の攻撃手法が、PDFファイルの悪用だ。攻撃者は悪意あるURLを記載したPDFファイルを標的に送り付け、マルウェアを拡散させる。2022年12月、イニシャルアクセスブローカー(IAB:標的への不正アクセス手段を攻撃者に提供する仲介人)を含む複数の攻撃グループが、PDFファイルを悪用し始めた。2023年2月には使用数がほぼ倍増している。


 第4回は、攻撃手法の変化が高速化している状況を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news053.jpg

「docomo Ad Network」 高LTVユーザーのみに広告配信ができる顧客セグメントを追加
D2Cは顧客生涯価値が高くなることが見込まれるセグメントを抽出し、新たなセグメント情報...

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。