Word／ワードパッドの脆弱性を突いて感染、“銀行ウイルス”ばらまき型メール攻撃が発生

　Microsoft Wordおよびワードパッドの脆弱性を悪用してオンラインバンキングマルウェア「DreamBot」に感染させる日本語のばらまき型メールを6月7日に確認したとして、株式会社ラックが注意を喚起している。

　悪用されるMicrosoft Wordおよびワードパッドの脆弱性は、Microsoftが4月11日にセキュリティ更新プログラム（修正パッチ）を提供している「CVE-2017-0199」。リモートから任意のコードを実行される可能性があるもの。

　DreamBotについてはすでに3月、日本サイバー犯罪対策センター（JC3）などが注意喚起を発表しているが、ラックによれば、その後も日本語のばらまき型メールによる攻撃が週に数回確認されているという。

　これまでのばらまき型メールでは、添付されたZIPファイル内のドキュメントファイルに、DreamBotを不正サイトからダウンロードするJavaScriptが埋め込まれていた。

　一方、6月7日に確認されたのは、ZIPファイルが添付された日本語のばらまき型メールである点や、DreamBotに感染させる点はこれまでと共通するが、新たにCVE-2017-0199の脆弱性を悪用してDreamBotの感染を図る点が異なる。脆弱性を悪用してDreamBotに感染させる攻撃の例は、今回初めて観測されたという。ZIPファイル内には、拡張子を「.doc」に偽装したリッチテキスト形式のファイル（pxsvj.doc）が格納されている。

「CVE-2017-0199」の脆弱性を悪用する日本語メールの例

　このファイルに埋め込まれているOLEオブジェクトは、URL Monikerでの処理に起因する脆弱性を悪用し、VBScriptが埋め込まれた「3.xls」をダウンロードする。この拡張子を偽装したWordドキュメントファイルである「3.xls」が、PowerShellを実行し、DreamBotのダウンロードを試みるという。

メールに添付された「pxsvj.doc」に含まれるOLEオブジェクトの一部

ダウンロードされる「3.xls」に含まれるVBScriptの一部

　ラックによれば、従来のJavaScriptを埋め込んだファイルによる拡散では、ドキュメント内のオブジェクトをユーザーがクリックした場合のみマルウェアに感染する一方、脆弱性を悪用する今回の場合は、ファイルを開くだけでマルウェアに感染してしまう。その際にUAC（ユーザーアカウント制御）のダイアログボックスは表示されず、その通信はファイアウォールなどでも検知されないという。

　ただし、インターネットからダウンロードしたWordファイルを開く際には、「保護ビュー」で表示され、編集を有効にしなければマルウェアには感染しない。修正パッチを適用することや、メールに添付されたファイルを安易に閲覧しないことはもちろん、保護ビューの解除、マクロの有効化、埋め込みオブジェクトのクリックなどにも注意が必要と言える。