Sophos Labsの首席マルウェア研究者であるGabor Szappanos氏は、数年前からMicrosoft Officeの脆弱性を調べている。
Gobor氏は最新のレポートで、2015年第4四半期にもっとも多く利用されたOfficeエクスプロイトキット4種を調査。悪意あるドキュメントでもっともよく利用されるエクスプロイトは何か調べた。
マルウェアの作者は攻撃の入り口として、ドキュメントの脆弱性に注目している。攻撃者はフィッシングメールを使って加工したOfficeドキュメントを、多数のランダムな受信者(サイバー犯罪者)にばらまくケースが多いものの、よりターゲットを絞り込む、いわゆるAPT攻撃でも行われる。
Officeエクスプロイトマルウェアの作者が突くOfficeの脆弱性は、新しいものではない。もっとも多く利用されているエクスプロイト「CVE-2012-0158」は、3年以上も前から存在するものだ。
その後、これに対応する新しいエクスプロイトが登場した。「CVE-2013-3906」と「CVE-2014-0761」はよく利用されており、2015年8月には新しいOfficeのエクスプロイト(CVE-2015-1641)が目立ちはじめた。だが、いずれもCVE-2012-0158を上回ることはなく、2015年第4四半期でも利用されたエクスプロイトのうち実に48%が古い同エクスプロイトだった。
なぜマルウェアの作者は古いエクスプロイトを使い続けるのか?
Gabor氏によると、Microsoftが数年前にセキュリティホール向けのパッチを発行しているにもかかわらず、「古いエクスプロイトはかなりの比率で機能するから」だという。
エクスプロイトが新しい場合、パッチを適用している可能性は低くなるため、犯罪者には、より価値があるかもしれない。ただ、古いエクスプロイトでも「(十分に)攻撃はできる」とGabor氏は記している。
悪意あるOfficeドキュメントから保護するには、以下のポイントに注意しよう。
- パッチをすぐに当てる。
- セキュリティソフトウェアを最新のものに更新する。
- 迷惑メールの添付ファイルを開かない。
- 簡素化したドキュメントビューアの利用を検討する。
この記事は、英Sophos Blogより転載しています