シマンテックは、悪質な Excel スプレッドシートファイルのパスワード保護機能を利用して被害を広げている標的型攻撃を、継続的に監視しています。偶然にも、これまでに解析されたサンプルのすべてが「8861」という 4 桁のパスワードを使っており、Excel ファイルが添付されたメールの本文にこの数字が記載されています。いったい、なぜ「8861」なのでしょうか。何らかの意味があるのかどうか私にはわかりませんが、この数字の意味に気づいた方がいらっしゃれば、シマンテックまでご一報ください。ファイルの名前、スプレッドシートの内容、コンピュータに投下されるマルウェアの種類は、サンプルごとにまったく異なっています。
標的型攻撃にパスワードが使われたのは、今回が初めてではありません。実際、2011 年 12 月にも、同じ手口を使った文書ファイルのことをこのブログで取り上げました。しかし、世界中のさまざまな組織を標的にしながら同じパスワードを何度も使い続ける攻撃となると記憶にありません。
攻撃者がパスワードを使う目的はほとんどの場合、ゲートウェイでもデスクトップ上でもマルウェアが検出をすり抜けられるようにすることにあります。パスワード機能を使うとファイルが暗号化されるからです。また、調査を行うときにもファイルの復号にパスワードが必要になるため、セキュリティ研究者の仕事や自動解析にとっても厄介です。パスワードがかかっていると受信したユーザーが安心するという面もあります。なにしろ、パスワードはセキュリティ向上のために使うのが普通ですから。このことを少し考えてみましょう。添付された Excel スプレッドシートのパスワードが、その添付ファイルを含むメール自体で指定されています。一般的に、パスワードは別の手段で連絡するか、少なくとも別のメールに書くのが一般的です。そうしなければ、ファイルをパスワード保護しても何の意味もありません。
パスワードを使っている点を除けば、攻撃そのものは通常の標的型攻撃と変わりません。一般的にパスワードで保護されたファイルの中身はスキャンできないものの、セキュリティ製品を使えば投下またはダウンロードされたファイルを検出して感染を防ぐことはでき、その点は他の標的型攻撃の場合と同様です。多層型の防御を実装していれば、典型的な標的型攻撃を受ける以上の損害を受けることはまずありません。
パスワード保護したマルウェアが添付されるメールが確認される頻度は増えています。Excel ファイルに限らず、パスワードのかかったファイルが送信者不明のメールに添付されている場合には注意してください。シマンテックでは、今回ご報告した Excel スプレッドシートファイルを Trojan.Mdropper として検出しており、投下されるファイルとしては Trojan Horse、Backdoor.Darkmoon、Backdoor.Trojan を確認しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。