WordファイルにYouTube動画をエンベデッドし、マルウェア拡散が可能

前回、「パラサイトHTTP」というモジュール化されたマルウェアについてご紹介しました。新たな攻撃方法として、今回はWordファイルを活用した手口を見ていきます。

Microsoft Wordファイル内にYouTube動画をエンベデッドすれば、マルウェア攻撃が可能

マルウェアを秘密裏に拡散する、サイバー攻撃者達の新たな戦略が明らかになりました。YouTubeの動画を武器に変え、ユーザーがWordファイルにエンベデッドされた悪性のYouTube動画のサムネイルをクリックすると、JavaScriptが実行されます。この過程で、エラーや警告メッセージが表示されることは一切ありません。

サイバー攻撃のシミュレーションを行う企業が、WordファイルにYouTube動画を挿入し、サイバー攻撃者達の行為をそのまま再現することに成功しました。他の種類の動画を挿入することも可能で、YouTube動画を他のOfficeアプリケーションに挿入することも可能だと見られています。

Microsoft Wordにある動画エンベデッド機能は、動画イメージの後にHTMLスクリプトを生成するものです。実際のWordファイル上では小さなサムネイルを作り、Internet Explorerを通じて動画エンベデッド機能が実行されます。その企業が行ったシミュレーションによると、このHTMLコードは編集することが可能で、YouTube動画ではないマルウェアに接続させることができると言います。

Wordプログラムが使用するデフォルトXMLファイルの名前はdocument.xmlです。まずこのファイルを抽出して編集することが可能です。エンベデッドされた動画の設定内容が、このファイル内に保存されています。パラメータはembeddedHtmlで、YouTube動画に対するiFrame要素が付け加えられています。この要素を、サイバー攻撃者が改変したHTMLとすり替えることで、攻撃への悪用が可能となります。

その企業がシミュレーションの為に使用したHTMLには、Base64で暗号化されたマルウェアバイナリが含まれていました。このバイナリが実行されるとInternet Explorerのダウンロード管理者を実行し、マルウェアをインストールします。Wordファイル内の動画は正常に再生されますが、その裏側ではマルウェアが秘密裏に動作し始めます。このような攻撃方法が成功すれば、理論上では全ての種類のコードを実行出来る、という事になります。しかしランサムウェアやトロイの木馬など、サイバー攻撃者がどのような種類のコードを実行させるのかによって検知されるかどうか、が決定されます。このような理由からゼロデイ・エクスプロイトを使用したとしたら、サイバー攻撃者としては最高の成果が期待できるでしょう。

Microsoft側は「脆弱性ではない」…組織側はセキュリティ強化で対応

この攻撃が成立するには、ターゲットがWordファイルを開いて、YouTube動画のサムネイル画像をクリックする必要があります。この点を考慮すると、フィッシング攻撃との相性がいいと言えます。またMicrosoft Wordのデフォルト設定上、エンベデッドされた動画コードを実行する際にユーザーの許可を必要としない、という弱みがあります。よって、ユーザーがクリックさえすれば攻撃が成功します。動画が本物のYouTube動画なのか、それとも偽物なのか、アラートが出ることもありません。

この攻撃方法はOffice 2016、およびそれ以下のバージョンで起こりうるものです。Microsoftではこれを「脆弱性」とは判断しませんでした。Microsoftによると「Wordプログラムは、Microsoftが設計したとおりにHTMLを認識し実行している。他の類似プログラムも、これと同様な方式でエンベデッドされた動画を実行する」と説明しています。つまり、Microsoftが意図したとおりにプログラム内の機能が実行されているので、これを脆弱性とは言えない、といういうことです。

皆さまが所属されている組織としては、動画がエンベデッドされたファイル自体を遮断する、各種ペイロードを探知できるセキュリティソリューションを活用するといった方法を取り、悪意あるユーザーへ焦点を合わせて対策を施し、このような脅威に備えることが肝要です。