セキュリティ企業のCYFIRMAは1月4日(現地時間)、「Living off the Land : The Mechanics of Remote Template Injection Attack - CYFIRMA」において、Microsoft Wordのテンプレート機能を悪用する攻撃手法「リモートテンプレートインジェクション」について解説し、進化する脅威への対策を促した。
攻撃者はこの手法を用いることで、従来の電子メールゲートウェイやエンドポイント検出応答(EDR: Endpoint Detection and Response)ソリューションを回避できるとされる。
リモートテンプレートインジェクション攻撃とは
リモートテンプレートインジェクション攻撃とは、リモートからテンプレートを読み込むMicrosoft Wordの機能を悪用する攻撃手法。ドキュメントに悪意のあるテンプレートへのリンクを埋め込み、セキュリティソリューションの検出を回避して標的環境内で任意のコードを実行する。
CYFIRMAによると、この攻撃手法はスピアフィッシングキャンペーンにて特に効果的とされる。攻撃者は被害者との間に信頼関係を構築し、その信用を利用して悪意のあるドキュメントを開かせる。
同様の攻撃手法としては悪意のあるマクロを含むドキュメントを配布する手法がある。この手法についてはさまざまなセキュリティ対策が実装され、ユーザーも広く危険性を認識しており悪用は困難となっている。
これに対し、リモートテンプレートインジェクションでは、悪意のあるマクロを含むテンプレートファイルをサーバ側でホストし、このテンプレートへのリンクを含むほぼ正常なドキュメントファイルを配布する。この方法により、従来のセキュリティソリューションによる検出を回避し、マクロの実行を自動化できるという。
APTも初期攻撃に使用
CYFIRMAはこの攻撃手法がサイバー攻撃の初期段階で積極的に用いられているとして、Microsoft Officeドキュメントの徹底的な分析の必要性を訴えている。
攻撃者はリモートテンプレートファイルのURLを難読化する傾向があり、防御側はさまざまな難読化手法を考慮した分析が必要とされる。CYFIRMAはそれら複数の難読化手法を解説しており、対策への活用を促している。
また、根本的な対策として、リモートテンプレートの読み込みを制限するように推奨している。Microsoft Officeグループポリシー設定を変更し、リモートの場所からテンプレートを読み込まないように構成する。加えて、外部テンプレートの自動更新の無効化も行う。