「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用

「Office」の正規機能である自動更新処理や「DDEAUTO」に関しては、事前に動作の許可を求めるアラート画面が表示されるため、拒否すれば悪用は防止できる。逆を言えば、アラートの意味を理解せずに機能を許可したり、有効化することは危険な行為だ。

「DDEAUTO」の強化を求めるアラート画面（画像：トレンドマイクロ）

今後悪用するツールや手法が変化する可能性もある。

特定機能のアラートのみならず、信頼できると確信できるファイル以外の操作については、不用意に動作を許可しないようアラート全般に注意を払う必要がある。「CSVファイル」への対応に関しては、意図せず「Excel」で開かないよう、Excelとの関連付けを解除するケースもあるようだ。

また攻撃のきっかけとなるエクスプロイトだけでなく、攻撃グループは、最終的に感染させるマルウェアについても進化させている。

当初攻撃グループは、エクスプロイトを用いてオープンソースの「RAT」である「Koadic」に感染させ、最終的には「Emdivi」との類似も指摘されるバックドア「ChChes」への感染を試みていた。攻撃グループ名「ChessMaster」もそこに由来する。

しかし、2017年9月以降、同グループは感染させるバックドアを「ChChes」から「ANEL」へ移行した。その後も段階的にバージョンアップを重ね、改良を加えるなど、巧妙化が進んでいる。入り口における侵入防御はもちろん、マルウェアへの感染を前提とした対策なども急務となっている。

（Security NEXT - 2018/06/20 ）ツイート