サイバーセキュリティ企業ANY.RUNは2024年12月4日、破損したMicrosoft Office文書とZIPアーカイブを利用した新たなフィッシング攻撃手法を発見したと報告した。
この攻撃の主なポイントは以下の通り:
- 攻撃開始時期:2024年8月から
- 攻撃手法:意図的に破損させたOffice文書やZIPファイルを使用
- 対象となるソフトウェア:Microsoft Word、Outlook、WinRAR
- 攻撃の特徴:
- セキュリティツールによるスキャンを不可能にする
- VirusTotalでの検出率は0%
- アプリケーションの復旧機能を悪用
攻撃の流れ:
- 従業員の福利厚生やボーナスに関する偽装メールを送信
- 破損したファイルを添付
- ユーザーがファイル復旧を実行
- 復旧後のファイルに埋め込まれたQRコードを表示
- QRコードから偽のMicrosoftログインページに誘導
- ログイン認証情報の窃取またはマルウェアの配布を実行
ANY.RUNはこの手法を「潜在的なゼロデイ攻撃」として分類し、現在も継続的な攻撃が確認されていると報告している。
from:Hackers Use Corrupted ZIPs and Office Docs to Evade Antivirus and Email Defenses
【編集部解説】
従来のメールセキュリティは、添付ファイルの内容を解析することで不正を検知してきました。しかし、この新手法では意図的にファイルを破損させることで、セキュリティツールによる解析自体を回避しています。
特に注目すべきは、この手法がMicrosoft WordやOutlookなどの一般的なオフィスソフトウェアの「親切な機能」を逆手に取っている点です。ファイル復旧機能は本来、ユーザーの利便性を高めるために実装されていましたが、攻撃者はこれを悪用しているのです。
セキュリティへの示唆
この攻撃手法の特徴的な点は、VirusTotalでの検出率が0%を記録したことです。これは、現代のセキュリティソリューションが想定していない攻撃ベクトルであることを示しています。
さらに懸念されるのは、この手法が2024年8月から継続的に使用されているにもかかわらず、効果的な対策が確立されていない点です。
企業への影響
特に深刻なのは、この攻撃が人事部門からの通知を装っている点です[7]。年末のボーナスシーズンと重なることで、従業員が警戒を緩める可能性が高くなります。
また、QRコードを使用するという手法は、モバイルデバイスでの閲覧を誘導する狙いがあると考えられます。PCのセキュリティ対策を回避しつつ、比較的対策の緩いモバイル環境を標的にする、という二段構えの戦略と見ることができます。
今後の展望
この攻撃手法は、既存のセキュリティ対策の在り方に一石を投じています。ファイルの正常性チェックと復旧機能の両立という、相反する要求をどのように解決するかが、今後のセキュリティ開発における重要な課題となるでしょう。
また、この事例は、セキュリティ対策が技術的な防御だけでは不十分であることを示しています。特に年末年始のような特定の時期には、従業員への注意喚起と教育がより重要になってくると考えられます。