New SophosLabs research: Exploring the popularity and applications of document exploit builder Ancalog(Sophos BLOG

マルウェアコミュニティにおいて、ドキュメントの脆弱性を悪用するという手法はよく取られる人気の方法だ。脆弱性を含むドキュメントを攻撃に利用するのかの共通の理論としては、被害者が開示する可能性が実行ファイルよりも高いから - そう公式ブログで述べるのはSophosの研究機関SophosLabs。

エクスプロイトといわれる"仕掛爆弾"を含むWord、Excel、PDFといったドキュメントは、被害者が手動でマクロを有効化することなく、だますことができるのだと指摘する。人々の生産活動と切り離せないドキュメントは、まさにかつての紙の文書と同様にコンピューターの間を流通している。気軽に開いてしまうのはそのためでもある。

2016年8月の同社によるOffice exploitsのターゲット分析。既に約4年が経過する「CVE-2012-0158」が未だにもっとも多いターゲットになる

SophosLabsが先に発表したテクニカルペーパー「Ancalog – the vintage exploit builder(Ancalog-ビンテージのエクスプロイトビルダー)」(英文/PDF)は、ドキュメントを悪用した攻撃が増えている理由を調べ、ドキュメント攻撃を作成できるツール「Ancalog」の長期的な人気の背景を探っている。

SophosLabsが"ビンテージ"と示すように、Ancalogで悪用できる脆弱性の多くが、数年前にパッチが配布されており、攻撃者は十分な成果を出せずに終わっているという。それでも、仕掛け爆弾を含んだドキュメントを簡単に作成できるという容易さから、Ancalogはアジアとアフリカ諸国を狙うロシア、ナイジェリアの多くのサイバー犯罪組織が好んで選ぶ攻撃ツールとなっており、この2年でドキュメントを狙う手法を用いるサイバー犯罪グループは安定して増加、減る兆候はみられない。

サイバーアンダーグラウンドの世界でエクスプロイト作成ツールが容易に手に入るようになったことで、さまざまな犯罪者がドキュメントの脆弱性を悪用する手法を利用するようになった。そのうち最もよく使われているのがAncalogとなる。レポートによるとフルバージョンが290ドル、ライトバージョンが49ドルという手軽さ。配布方法により、いくつかのフォーマットでの吐き出しを可能としている。

「Ancalog」が使われていると見られる検知数 レポート「Ancalog – the vintage exploit builder」より

「Ancalog」のインタフェース レポート「Ancalog – the vintage exploit builder」より

もちろん、古い脆弱性に依存するAncalogなど人気のツールを使うことは、犯罪者にとってはデメリットがあり、防御する側としてはメリットとなる。Ancalogはゼロディのエクスプロイトはもちろん、新しいとみなされるものすら利用できない。つまり、Microsoft Officeの最新のパッチを適用しておければ、Ancalogからの攻撃を防ぐことができる、とSophos labsは述べている。脆弱性は、未知/既知問わずに様々なものが存在する。

国内においてJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報データベースJVN iPediaでは、「MyJVNバージョンチェッカ」も公開している。今一度脆弱性を把握しておくことが大切なことであろう。