「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用

「CSVファイル」は、「テキスト形式」であり、テキストエディタなどで開いた際、開いたアプリケーションなどに脆弱性がない限りは、内部に記載された命令が実行されることはない。しかし、「Excel」の導入環境下ではOSの関連付けのため、ダブルクリックした場合など、自動的に「Excel」で開かれる。

リンクの自動更新機能について許可を求めるアラート（画像：トレンドマイクロ）

「Excel」でファイルを開いた際、内部データの自動更新について許可を求めるアラートが表示される。

うっかり許可してしまうと内部のデータを表計算ソフトとして解釈。悪意ある命令などもそのまま実行されてしまうおそれがある。「テキストファイルは安全」との先入観を突いたソーシャルエンジニアリング攻撃の一種といえよう。

「CSVファイル」を用いた標的型攻撃は、サイバー情報共有イニシアティブ（J-CSIP）が、2018年第1四半期のレポートで報告した。一方、トレンドマイクロが「CSVファイル」を用いた攻撃を観測したのは、「ChessMaster」による4月の攻撃がはじめてとしており、同グループ以外で「CSVファイル」が用いられたケースは確認されていないという。

こうした状況を踏まえると、「CSVファイル」は、バラマキ型攻撃には現状用いられてはおらず、対象を絞った限定的な攻撃に利用されている様子が浮かび上がる。

また危険なのは「CSVファイル」にとどまらない。トレンドマイクロによれば、「ChessMaster」では、ほかに2種類のOfficeの正規機能を悪用しており、複数のファイル形式を攻撃に用いていた。

（Security NEXT - 2018/06/20 ） ツイート

PR

関連記事

J-CSIP、2023年4Qは脅威情報15件を共有 - 巧妙なフィッシングの報告も
先週の注目記事（2024年2月25日〜2024年3月2日）
Windowsのゼロデイ脆弱性「CVE-2024-21412」、昨年12月下旬より悪用
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
インシデント件数が約1割増 - 「スキャン」報告が倍増
国内組織狙う標的型攻撃 - 対象製品利用者は侵害有無の確認を
J-CSIP、24件の脅威情報を共有 - 標的型攻撃は5件
米政府、脆弱性「Citrix Bleed」についてガイダンスを公開
「Citrix ADC/Gateway」にゼロデイ脆弱性 - 標的型攻撃による悪用も
東大教員PCが標的型攻撃でマルウェア感染 - 対策ソフトは検知せず