トレンドマイクロは20日、Microsoft Officeの「挿入とリンク」機能を悪用した標的型メールを確認したと、同社のセキュリティグログで発表した。
2015年3月に匿名の受信者に送信されたメールに、「AlSajana Youth Center financial Report.docx」(会計報告書)、「u0627u0644u0645u0639u062Fu064429u0.docx」、「u0625u0646u062Cu0644u064Au0632u0649.doc」と名付けられた3種類のファイルが添付されていた。ファイルやWordに不正なマクロや脆弱性は存在しなかったが、同社はこのうち、後者の2ファイルが裏で不正な通信を行なうことを確認したという。
|
2つの不審な添付ファイル(図:トレンドマイクロ) |
不正な通信は、Microsoft Wordの正規のプロセス「winword.exe」が不正なURLに接続していたことが原因であることが、同社の検証で判明した。ファイルに挿入したい画像へのリンク(Source file)をWordの「挿入とリンク」機能で設定し、その後ファイルを保存。 Wordはファイル内リンクの更新や変更が可能なため、ファイル保存後にリンクの内容を他のものと置き換える、もしくはファイル内のリンクを変更することで、不正なURLをファイルに設定したとみられる。
|
不正なURLに接続するwinword.exe(図:トレンドマイクロ) |
今回確認した攻撃はOfficeの正規機能を使用するため、既に登録されている不正URLであればブロックされる可能性もあるが、そうでない場合ファイルベースの検出を回避する可能性がある。同社はファイルの送信元が信頼できる相手かを確認すること、Officeファイルのリンクを確認することなどを、対策として紹介している。
