2020 年 9 月 25 日 Trevor Collins 著

最近 Nviso Labs が発見したマルウェアのペイロードから、VBA（Visual Basic for Applications）スクリプトを Microsoft Office 文書に隠ぺいする新しい方法が明らかになりました。マルウェアの作成者は、いくつかのマルウェア対策サービスを回避できるサードパーティ製のプログラムを使用して、その悪意ある文書を作成していました。一般的なウイルス対策プログラムは、ファイルのシグネチャを検査してマルウェアを検知します。シグネチャの確認にかかるリソースは少ないため実行が速いものの、マルウェアがこれらのシグネチャを変更でき検出を回避できれば、ウイルス対策ソフトは検出するための新しいシグネチャを発行しなければなりません。このようなサイバー犯罪者と防御側のイタチごっこは珍しくありませんが、Microsoft Office のような一般的に使用されるファイルフォーマットでは一般的ではありません。マルウェアをブロックしつつも正規のファイルはブロックしないシグネチャを作成するのは容易ではありません。シグネチャはあまりに普遍的すぎても、あまりに特徴的であっても機能しないのです。そのためシグネチャベースのマルウェア保護の場合、許容範囲内でマルウェアが侵入されることがありますが、できる限りその数を最小限に抑えるように作られています。しかし、今回新たに見つかった手法を使用すると、Microsoft Office ではない文書が不正に侵入する恐れがあります。言い換えれば、文書にマルウェアを仕込むために Microsoft 以外のプログラムが使用されていた場合、シグネチャが変更され、多くのウイルス対策をすり抜けてしまうのです。

今回のマルウェア作成者は、独自のライブラリを持つ EPPlus を使用してマルウェアスクリプトを作成していると考えられます。EPPlus を使用した場合、Microsoft Office と同等の操作ができるわけではありませんが、マクロは数多くあるマルウェアペイロードの 1 つをダウンロードして実行します。このマルウェアの作成者は今年 6 月にこの攻撃を開始しており、攻撃の回数を徐々に増やしています。英語、スペイン語、中国語、トルコ語圏の国で、この攻撃の被害を受けた複数ユーザーが見つかっています。

ファイルによっては、シグネチャベースの保護では不十分な場合があります。不明な送信元から送られてくる Office のマクロは許可しないようにしましょう。マルウェアは進化しており、ウイルス対策を更新して保護しなければなりません。機械学習や IAV のように不審なファイルを AI モデル上で実行させるマルウェア対策サービスを使用するか、そのファイルの本当の挙動を確認するためにファイルをサンドボックスで実行する APT Blocker のような挙動検知ツールを使用してください。