メールの添付ファイルを通じたマルウェア感染では、「Microsoft Office」ドキュメントやPDFドキュメントが用いられるのが一般的だ。しかし、なかにはその裏をかいてくるものもある。米HPのセキュリティ部門HP Threat Researchは7月15日(現地時間)、オープンドキュメント形式ファイルのマルウェアがラテンアメリカのホテル業界を標的にしているとして注意を喚起している。
オープンドキュメント形式(Open Document Format:ODF)は、特定のベンダーに依存しないISO標準のファイル形式。「LibreOffice」や「Apache OpenOffice」などでサポートされており、最近では「Microsoft Office」も最新の「ODF 1.3」をサポートしている。
今回、確認されたマルウェアはテキスト文書(ODT)の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる。その意味がわからないユーザーが安易に[はい]ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる。マクロを有効にすると、感染チェーンがトリガーされ、最終的に「AsyncRAT」と呼ばれるマルウェアペイロード(そのファイルで運ばれているマルウェアの実体)が実行される。
HPによると、ODF形式でマルウェアが配布されるのは珍しく、そのためか7月7日時点における「VirusTotal」の検出率は0%だったという。このODTファイルそのものにはマクロが含まれておらず、「styles.xml」からリモートでホストされているOLEオブジェクトを呼び出す仕組みになっていることも、マルウェアとして検出されない一因かもしれない。
ともあれ、「ODF形式であればマルウェアではない」との思い込みがあるのならば非常に危険だ。今回のマルウェアはローカルに「Microsoft Office」がインストールされていなければ感染しないようだが、最近日本で再び猛威を振るっている「Emotet」にも「Microsoft Office」がなくても感染する亜種が確認されている。外部からファイルを受け取った場合は、どんなファイルタイプであれ、慎重に扱うべきだろう。
https://forest.watch.impress.co.jp/docs/news/1426340.html
テキスト文書(ODT)の体裁をとっている
↓
開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる
↓
[はい]ボタンを押すと「Excel」が開く
↓
今度はマクロを有効にするかを問うダイアログが現れる。
↓
[はい]ボタンを押しマクロを有効にする
↓
感染
>>5
感染するまでに気付くわw
>>5
もうこれでひっかかる人は
途中に「ウイルス感染しますがよろしいですか?」ってメッセージ入っていても「はい」をクリックしそうに思うわw
>>5
必要そうなときは有効にしちゃうからこれは引っ掛かるね
>>5
excelが開くとかマクロの確認とかということはexcelが必要で
openoffice.orgやlibre officeだけインストールしてる環境では感染しない?
面倒くさいマルウェアだな( ;´・ω・`)
Odtなんて見慣れないファイルをクリックしないだろ
まだexcelの方が間違ってクリックして感染するわ
セキュリティ危機感皆無な奴を標的にしてるのか
良い奴じゃんw
>>6
ちょっと偽装して許可押しそうな文言入れたら結構簡単に通ってしまうだろうけどね。
賞金プレゼントキャンペーンどんどんぱふぱふ!
インターネット上でくじを引きます!はいを押してExcel開いてねw
あ、マクロも使いますw
→うえーいwww
チョロいと思うぞ?w
こういうのに乗っちゃうのもどうかとは思うがwww
>>11
実際にそんな場面に遭遇したら吹く自信があるwww
ファイル落としちゃうはまぁわからんくもない
なんでマクロとか有効にしちゃうんだろうね
中身良くわからんのに
厚労省が医療機関向けのファイルにマクロ使いまくりのエクセルファイル使っていたりする
何ソレやばいと思ったらOLEでエクセル呼び出して何時ものマクロ経由の感染なんだね
考え無しクリックする輩がいてもマクロをデフォで無効にしてれば一応平気か
読んだら結局マクロやんけ
20年くらい前にも流行ったよなマクロウイルス
一時期は世の中一斉に「マクロ禁止の流れ」になったっけなぁ
文書ファイルに実行可能な命令が埋め込めるという所が根本的に間違ってる。Javascriptとか当たり前のように使われるようになったから、そのあたりの感覚が麻痺してるんだよな。
分かっちゃいるけど、もらったファイルはとりあえず開きたくなるのが人間の性ってやつだろう
