編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

5年前にパッチが公開された「Microsoft Office」の脆弱性2件、悪用止まらず

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-08-12 13:30

 サイバー犯罪者らは、何年も前からその存在が知られ、修正パッチも公開されている、「Microsoft Office」の脆弱性を悪用してPCにマルウェアを感染させようとしている。この事実は、サイバーセキュリティ関連のアップデートを適用することの重要性を示すものだ。

PCのキーボードを叩く手
提供:Getty Images

 Fortinetのサイバーセキュリティ研究者らによると、サイバー犯罪者らは脆弱性に対する修正パッチが公開されているものの、適用されていない「Windows」マシンを狙い、「SmokeLoader」というマルウェアをインストールしようとしているという。SmokeLoaderは、「Trickbot」や、さまざまなバックドア、トロイの木馬型マルウェアなどのマルウェアを送り込むために用いられている。

 Fortinetが挙げている2つの脆弱性はいずれもおよそ5年前に公になり、修正パッチも存在しているにもかかわらず、SmokeLoaderを配布する目的で悪用されているという事実は、これらが犯罪者にとって依然として有効な攻撃手段であることを示している。

 Fortinetが今回取り上げている1つ目の脆弱性は「CVE-2017-0199」だ。攻撃者は、2017年に発見された、Officeの脆弱性を悪用することで、侵入したネットワーク上で「PowerShell」スクリプトのダウンロード、実行が可能になり、システムにアクセスするためのさらなる手段を入手できるようになる。

 2つ目の脆弱性は「CVE-2017-11882」だ。これはOfficeの「数式エディター」におけるメモリー内のオブジェクトの取り扱いが適切でないために遠隔地からのコード実行(RCE)が可能になる脆弱性だ。いずれの脆弱性に対する修正パッチも、脆弱性が公開された5年前から利用可能になっている。

 他の多くのマルウェアキャンペーンと同様、サイバー犯罪者らはフィッシングメールを使って被害者を誘導し、目的を達成しようとする。Fortinetの研究者らは今回調査したフィッシングメールについて詳述している。メールは発注内容と出荷時間の確認を求める形態をとっており、担当者氏名とともに関係連絡先の詳細が含まれているなど、可能な限り正規のメールに見えるよう作り込まれている。

 発注内容を確認する上でユーザーは、「保護された」Office文書を開くよう求められる。そして、この文書を閲覧するために編集を有効化するよう求められる。これにより悪意のある文書が脆弱性を突くためのコードを実行できるようになり、被害者のデバイスにマルウェアを感染させることが可能になる。

 Fortinetの上級脅威インテリジェンスエンジニアであるJames Slaughter氏は「CVE-2017-0199とCVE-2017-11882は2017年に発見された脆弱性だが、このキャンペーンをはじめとする複数のキャンペーンで活発に悪用され続けている」と同社ブログに記している。

 これは、公開されてから何年もたっているような脆弱性であっても、修正が適用されていないことを見込んで攻撃することで、マルウェアの開発者らが目的を達成できている現状を示すものだ」とも述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]