MENU

壊れたオフィス文書

ほぼこもセキュリティニュース

オフィス文書を処理するアプリケーションには、Office修復ツールが提供されています。
パソコンが異常終了してしまったなどの何らかの原因で作成していたオフィス文書が不整合な状態になって、そのままでは利用できない場合になる場合があります。
そうすると、次にそのアプリケーションを起動した際に、壊れたオフィス文書を修復する機能が有効化された状態で起動されます。
異常な状態のままでは利用できないのですが、修復すれば利用できるということになります。
これを悪用する手口が出てきました。

  • 添付ファイル付きのメールが届く
    給与部門や人事部門を装ったメールが届きます。
    メールには添付ファイルが添えられていて、いかにもその添付ファイルの中身を確認したくなるような状態に仕立てられています。
  • 添付ファイルを開く
    添付ファイルはマイクロソフトワードのドキュメントです。
    しかし、ファイルを開いても、そのままでは利用できません。
    ワードはファイルが破損していることを検出し、ファイル内に「読み取り不可能なコンテンツが見つかりました」と表示して、ファイルを回復するかどうかを尋ねます。
  • 修復するとQRコードのある文書が表示される
    悪意のあるコードそのものは含まれていないのですが、修復されて開かれたドキュメントにはQRコードが含まれています。
    そして、そのQRコードを読み取るように記述されています。
  • マイクロソフトログイン?
    QRコードを読み取ると、マイクロソフトのログイン画面が表示されます。
    違いました。
    QRコードを読み取ると、マイクロソフトのログイン画面に見える画面が表示されます。
    ここで正規の認証情報を入力すると、その内容は脅威アクターに取得されてしまいます。

攻撃の流れの後半は新しいものではありませんでした。
認証情報を入力させて取得する手口です。
しかし、この手口には新しい部分が含まれています。
わざと壊れた状態にして攻撃ツールを配布するのです。
この状態になっている場合、セキュリティツールで問題を検出することは容易ではなさそうです。

この脅威の手口にはシステムの脆弱性を悪用する部分は含まれていません。
この手口に引っかかってしまうかどうかは自分次第ということになります。

いろいろな手口が出てきます。

ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection

https://x.com/anyrun_app/status/1861024182210900357

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。