オフィス文書を処理するアプリケーションには、Office修復ツールが提供されています。
パソコンが異常終了してしまったなどの何らかの原因で作成していたオフィス文書が不整合な状態になって、そのままでは利用できない場合になる場合があります。
そうすると、次にそのアプリケーションを起動した際に、壊れたオフィス文書を修復する機能が有効化された状態で起動されます。
異常な状態のままでは利用できないのですが、修復すれば利用できるということになります。
これを悪用する手口が出てきました。
- 添付ファイル付きのメールが届く
給与部門や人事部門を装ったメールが届きます。
メールには添付ファイルが添えられていて、いかにもその添付ファイルの中身を確認したくなるような状態に仕立てられています。 - 添付ファイルを開く
添付ファイルはマイクロソフトワードのドキュメントです。
しかし、ファイルを開いても、そのままでは利用できません。
ワードはファイルが破損していることを検出し、ファイル内に「読み取り不可能なコンテンツが見つかりました」と表示して、ファイルを回復するかどうかを尋ねます。 - 修復するとQRコードのある文書が表示される
悪意のあるコードそのものは含まれていないのですが、修復されて開かれたドキュメントにはQRコードが含まれています。
そして、そのQRコードを読み取るように記述されています。 - マイクロソフトログイン?
QRコードを読み取ると、マイクロソフトのログイン画面が表示されます。
違いました。
QRコードを読み取ると、マイクロソフトのログイン画面に見える画面が表示されます。
ここで正規の認証情報を入力すると、その内容は脅威アクターに取得されてしまいます。
攻撃の流れの後半は新しいものではありませんでした。
認証情報を入力させて取得する手口です。
しかし、この手口には新しい部分が含まれています。
わざと壊れた状態にして攻撃ツールを配布するのです。
この状態になっている場合、セキュリティツールで問題を検出することは容易ではなさそうです。
この脅威の手口にはシステムの脆弱性を悪用する部分は含まれていません。
この手口に引っかかってしまうかどうかは自分次第ということになります。
いろいろな手口が出てきます。
ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection
https://x.com/anyrun_app/status/1861024182210900357
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
認知領域
- トランプ前大統領 暗殺未遂:SNSにおける偽情報・フェイクニュースの分析|Cyabra版+コンステラセキュリティジャパン版2つの【Flash Report】を公開
- Cyabra社とコンステラセキュリティジャパンは、トランプ氏銃撃事件を受けて、SNS上での議論に関する分析レポートを作成いたしました。
-
サイバー領域
- 企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ
- ※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2024年9月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。 Bitsightと他...