Microsoft Officeファイルはサイバー攻撃者にとって都合のよいツールだった。フィッシング詐欺メールでユーザーをだまし、添付したMicrosoft Officeファイルを開かせ、ファイルに仕込まれているマクロを実行させる。そこから何段階かのペイロードを経てマルウェアに感染させ、あとは攻撃者が自由に攻撃を仕掛けられる状況になる。
しかし、この状況はMicrosoftがインターネットからダウンロードされたMicrosoft Officeファイルにおけるマクロ実行をデフォルトでブロックするようになったことで大きく変わった。これまで有効とされてきた攻撃手法がそれほど効果的には機能しなくなった。攻撃者はISOファイルやVHDファイルを使うなど、こうした制限の対象にならないファイルを悪用するという新しい手法の模索を始めている。
The Hacker Newsは12月28日(現地時間)、「APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector」において、こうした攻撃ベクトルとして新しく「XLLファイル」と「Publisherファイル」の悪用が始まっていると伝えた。
XLLファイルはMicrosoft Excelのアドインファイル。このファイルは電子メールに添付して送ることができ、現時点ではセキュリティソフトウェアによる検出も回避しやすいとされている。ユーザーはこのファイルがどういったものかを知らずに開いてしまい、悪意あるコードが実行されるリスクがあると指摘されている。
他の攻撃ベクトルとして、Microsoft Office Publisherファイルが悪用される手口があることも指摘されている。インターネットからダウンロードされたファイルのマクロ実行をブロックするというルールは、Microsoft Office Publisherのファイルには適用されない。このことを利用してPublisherファイルのマクロを悪用する手口が説明されている。
攻撃者はオペレーティングシステムベンダーやセキュリティベンダーの対策に合わせて、新しい攻撃手法を模索して代替方法を見つけてくる。こうした技術はいたちごっこの状況にあり、ユーザーや企業は常にこうした攻撃のリスクが存在していることを認識するとともに、メールに添付されているファイルを確認せずに開いたり、掲載されているリンクを確認前にクリックしたりといった操作を行わないように、日頃の対策を継続することが望まれる。