「VirusTotal」の検出率0％ ～オープンドキュメント形式（ODF）のマルウェアが確認される

米HPのセキュリティ部門HP Threat Researchの公式ブログ

　メールの添付ファイルを通じたマルウェア感染では、「Microsoft Office」ドキュメントやPDFドキュメントが用いられるのが一般的だ。しかし、なかにはその裏をかいてくるものもある。米HPのセキュリティ部門HP Threat Researchは7月15日（現地時間）、オープンドキュメント形式ファイルのマルウェアがラテンアメリカのホテル業界を標的にしているとして注意を喚起している。

　オープンドキュメント形式（Open Document Format:ODF）は、特定のベンダーに依存しないISO標準のファイル形式。「LibreOffice」や「Apache OpenOffice」などでサポートされており、最近では「Microsoft Office」も最新の「ODF 1.3」をサポートしている。

　今回、確認されたマルウェアはテキスト文書（ODT）の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる。その意味がわからないユーザーが安易に［はい］ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる。マクロを有効にすると、感染チェーンがトリガーされ、最終的に「AsyncRAT」と呼ばれるマルウェアペイロード（そのファイルで運ばれているマルウェアの実体）が実行される。

確認されたマルウェアはテキスト文書（ODT）の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる

［はい］ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる

　HPによると、ODF形式でマルウェアが配布されるのは珍しく、そのためか7月7日時点における「VirusTotal」の検出率は0％だったという。このODTファイルそのものにはマクロが含まれておらず、「styles.xml」からリモートでホストされているOLEオブジェクトを呼び出す仕組みになっていることも、マルウェアとして検出されない一因かもしれない。

　ともあれ、「ODF形式であればマルウェアではない」との思い込みがあるのならば非常に危険だ。今回のマルウェアはローカルに「Microsoft Office」がインストールされていなければ感染しないようだが、最近日本で再び猛威を振るっている「Emotet」にも「Microsoft Office」がなくても感染する亜種が確認されている。外部からファイルを受け取った場合は、どんなファイルタイプであれ、慎重に扱うべきだろう。