検索
特集/連載

Microsoft Officeでマクロ自動実行はNG? “あれ”があったら要注意NASAの画像を悪用したサイバー攻撃【後編】

NASAのジェームズ・ウェッブ望遠鏡が撮影した画像を悪用したサイバー攻撃が発見された。この攻撃では“珍しい手法”を用いるという。その内容とは。

Share
Tweet
LINE
Hatena

 セキュリティベンダーSecuronixは同社の公式ブログで、NASA(米航空宇宙局)のジェームズ・ウェッブ望遠鏡が撮影した画像を悪用するサイバー攻撃について解説した。同社のアナリストであるデン・ルズビック氏、ティム・ペック氏、オレグ・コレスニコフ氏は、この攻撃を「GO#WEBBFUSCATOR」と呼び、珍しい手法を用いる攻撃だと説明する。

「GO#WEBBFUSCATOR」の攻撃手法とは “あれ”に要注意

 GO#WEBBFUSCATORは、侵入したネットワークに遠隔でアクセス可能な状態になる「リモートアクセス型トロイの木馬」(RAT)だ。攻撃用サーバであるコマンド&コントロール(C2)サーバに接続して、ペイロード(マルウェアの実行を可能にするプログラム)を送り込んで以下を実行する。

  • 標的となるシステムを制御するための、暗号化した通信の確立
  • パスワードを含むアカウント情報や、財務情報といった機密データの窃取

 Securonixは、GO#WEBBFUSCATORのTTP(戦術、技術、手順)に深い関心を示す。「NASAの公式画像とコマンドラインプログラム『certutil.exe』を使用して、プログラミング言語『Go』のバイナリファイルを構築する手法は珍しい」と、同社はブログに記載している。

 「バイナリファイルの制作者は、フォレンジック(サイバー攻撃の法的証拠の収集)と、EDR(Endpoint Detection and Response)によるエンドポイントセキュリティの両方を念頭に置いてペイロードを設計したことが明らかだ」。Securonixはこう見解を示す。

 セキュリティ情報サイト「ProPrivacy」のデジタルプライバシー専門家であるレイ・ウォルシュ氏は、ジェームズ・ウェッブ望遠鏡関連のメールには注意が必要だと述べる。「Microsoftのオフィスアプリケーション『Microsoft Office』のファイルがJPEG画像を含んでいる場合、悪意のあるペイロードが自動的に配信される可能性があるため、開いてはいけない」

 Microsoft Officeのマクロを自動的に実行するように設定していると、危険を招く場合がある。GO#WEBBFUSCATORのようなサイバー攻撃はその代表的な例だ。ウォルシュ氏は企業に対し、マクロ実行前に通知が表示されるように設定することを勧める。これにより、マルウェアのセルフインストールを防止できる。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る