トレンドマイクロは2012年4月9日、新たな標的型攻撃を確認したとして注意を呼びかけた。ウイルスを仕込んだ文書ファイルを、暗号化してからメールに添付して送付する。復号するためのパスワードは別のメールで送る。ウイルス対策ソフトを回避することや、ユーザーを信用させることが目的。
標的型攻撃とは、特定の企業や組織のユーザーを狙った攻撃のこと。典型例の一つは、標的とした企業の社員に向けて、関係者や別の社員を装ってウイルスメールを送信すること。添付されるウイルスは、オフィスソフトなどの脆弱性を悪用する文書ファイルであることが多い。
今回確認されたウイルスも、Wordの文書ファイル(doc)。ただ、通常の標的型攻撃で使われる文書ファイルウイルスとは異なり、Wordの標準機能で暗号化されていた。ファイルを開こうとすると、パスワードを要求される(図1)。パスワードは、ウイルス添付メールとは別のメールで送られてくる。
ウイルスファイルを暗号化して送ることで、ゲートウエイやメールサーバーなどでのウイルス対策ソフトを回避できる可能性がある。
また、業務において文書ファイルをメールでやり取りする際には、ファイルを暗号化すること、およびパスワードを別のメールで送ることはよく行われる。このため、ユーザーに正規のメールだと思わせることができるという。
Wordの文書ファイルとDLLファイルを使う標的型攻撃も複数確認している。攻撃者は、これらのファイルを圧縮したZIPファイルをメールに添付し、標的としたユーザーに送信する。
受け取ったユーザーが解凍(展開)すると、文書ファイルとDLLファイルが現れる(図2)。DLLファイルがウイルスの実体。文書ファイルにはウイルスは含まれていないものの、Wordの脆弱性を悪用する仕掛けが施されている。
このため、文書ファイルを開くだけで、同じフォルダーのDLLファイルが実行されてウイルスに感染する恐れがある。この脆弱性を解消するためのセキュリティ更新プログラム(パッチ)は2011年9月に、日本マイクロソフトから公開されている。
