2017年10月頃から、中国、ロシアの攻撃グループが一斉に悪用し始めた攻撃手口が話題だ。Dynamic Data Exchange(DDE)と呼ばれるMicrosoft Officeの機能を悪用する。攻撃者はマクロやVBAなどを利用せずに、マルウエアのダウンロードや実行が可能となる。WordやExcelのほかに電子メールソフトのOutlookへも影響が及ぶため、攻撃パターンは多岐にわたる。

  DDEはWindows OS上でWordやExcelなどのアプリケーション間でデータを交換したり、コマンドを発行したりするためのプロセス間通信のメカニズムだ。その歴史は古く、1987年に発表されている。後継のOLE(Object Linking and Embedding)の登場以降利用する機会は減ったものの、現在でも利用可能な機能である。具体的には、Excelに埋め込まれたリンクをクリックするとPowerPointファイルを表示させる、などの動作を実現する。

DDEとアプリケーションの連携イメージ
DDEとアプリケーションの連携イメージ
[画像のクリックで拡大表示]

 この機能を使えば、Office以外のWindowsベースのプログラムでも、同様のリンクを作成できる。手元にPCがある読者は次の操作を試していただきたい。

  • ステップ1:Wordファイルで新規文書を作成する
  • ステップ2:[CTRL]+[F9]のキーを押し、「{ }」を表示させる
  • ステップ3:「{ }」の間に次の文字列をコピーし、ドキュメントを保存する
    DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

 ここまでできたら、保存した新規文書をダブルクリックする。他のファイルへのリンクが含まれている旨を知らせるポップアップが確認できれば成功だ。「はい」をクリックしていけば、電卓(calc.exe)が起動する。