5年前にパッチが公開された「Microsoft Office」の脆弱性2件、悪用止まらず

今回は「5年前にパッチが公開された「Microsoft Office」の脆弱性2件、悪用止まらず」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　サイバー犯罪者らは、何年も前からその存在が知られ、修正パッチも公開されている、「Microsoft Office」の脆弱性を悪用してPCにマルウェアを感染させようとしている。この事実は、サイバーセキュリティ関連のアップデートを適用することの重要性を示すものだ。

　Fortinetのサイバーセキュリティ研究者らによると、サイバー犯罪者らは脆弱性に対する修正パッチが公開されているものの、適用されていない「Windows」マシンを狙い、「SmokeLoader」というマルウェアをインストールしようとしているという。SmokeLoaderは、「Trickbot」や、さまざまなバックドア、トロイの木馬型マルウェアなどのマルウェアを送り込むために用いられている。

　Fortinetが挙げている2つの脆弱性はいずれもおよそ5年前に公になり、修正パッチも存在しているにもかかわらず、SmokeLoaderを配布する目的で悪用されているという事実は、これらが犯罪者にとって依然として有効な攻撃手段であることを示している。

　Fortinetが今回取り上げている1つ目の脆弱性は「CVE-2017-0199」だ。攻撃者は、2017年に発見された、Officeの脆弱性を悪用することで、侵入したネットワーク上で「PowerShell」スクリプトのダウンロード、実行が可能になり、システムにアクセスするためのさらなる手段を入手できるようになる。

　2つ目の脆弱性は「CVE-2017-11882」だ。これはOfficeの「数式エディター」におけるメモリー内のオブジェクトの取り扱いが適切でないために遠隔地からのコード実行（RCE）が可能になる脆弱性だ。いずれの脆弱性に対する修正パッチも、脆弱性が公開された5年前から利用可能になっている。

　他の多くのマルウェアキャンペーンと同様、サイバー犯罪者らはフィッシングメールを使って被害者を誘導し、目的を達成しようとする。Fortinetの研究者らは今回調査したフィッシングメールについて詳述している。メールは発注内容と出荷時間の確認を求める形態をとっており、担当者氏名とともに関係連絡先の詳細が含まれているなど、可能な限り正規のメールに見えるよう作り込まれている。

　発注内容を確認する上でユーザーは、「保護された」Office文書を開くよう求められる。そして、この文書を閲覧するために編集を有効化するよう求められる。これにより悪意のある文書が脆弱性を突くためのコードを実行できるようになり、被害者のデバイスにマルウェアを感染させることが可能になる。

　Fortinetの上級脅威インテリジェンスエンジニアであるJames Slaughter氏は「CVE-2017-0199とCVE-2017-11882は2017年に発見された脆弱性だが、このキャンペーンをはじめとする複数のキャンペーンで活発に悪用され続けている」と同社ブログに記している。

　これは、公開されてから何年もたっているような脆弱性であっても、修正が適用されていないことを見込んで攻撃することで、マルウェアの開発者らが目的を達成できている現状を示すものだ」とも述べている。