多くのセキュリティツールをすり抜ける新攻撃手法「MalDoc in PDF」 ～JPCERT/CCが警告

公式ブログ「JPCERT/CC Eyes」

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月22日、公式ブログ「JPCERT/CC Eyes」で、セキュリティソフトの検出を回避する新たな手法「MalDoc in PDF」を確認したと発表した。7月に発生したセキュリティ攻撃で用いられていたという。

　「MalDoc in PDF」は、「Microsoft Word」で作成されたマクロ付きのMHTMLデータをPDFファイルへ埋め込む点が特徴。作成されたファイルはシステムから見るとPDFファイルだが、「Word」で開くこともできる。その場合、ファイルに埋め込まれた悪意あるVBSマクロが実行されてしまう可能性がある。

「MalDoc in PDF」で作成された攻撃ファイルの構造

　この攻撃で懸念されるのは、攻撃コードの部分が「Word」データとなっているため、「Pdfid」などのPDF分析ツールでは検出されないかもしれないという点だ。また、ウイルス対策ソフトでも、このタイプの攻撃を考慮していない場合は、無害なPDFファイルとして扱われてしまう可能性がある。

　実際、PDFビューワーで開いた場合には何も起こらないため、まったくの無害だ。しかし、JPCERT/CCが確認した攻撃ではファイル拡張子が「.doc」となっていたとのことで、ユーザーがそのままファイルをダブルクリックして「Word」で開いてしまうと攻撃が成立しうる。

　JPCERT/CCによると、「Word」ファイルを専門とする分析ツール「olevba」が依然として有効。PDFファイルに偽装していても、攻撃コード部分を正常に検出できる。こうしたツールを社内のセキュリティに組み込んでおくとよいだろう。

　なお、原理的には「Excel」ファイルをPDFファイルへ埋め込むといった手法も考えられるが、その場合、起動時にファイルの拡張子が異なる旨の警告が「Excel」から発せられる。この警告を無視しない限りファイルが開かれることはないため、この手法で「Excel」が用いられる可能性は現時点では低いと考えられる。