メディア

Microsoftが警告する「Word」を狙ったゼロデイ攻撃 回避するにはここを確認

Microsoft Word文書を利用したゼロデイ攻撃が継続中だ。何に気を付ければよいのだろうか。

» 2023年08月04日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 Microsoftは2023年7月11日、Word文書ファイルを利用したフィッシング攻撃について警告した。

政府やインフラ企業を狙う

 攻撃しているのはRomCom(Storm-0978とも呼ばれる)というロシアを拠点としたサイバー犯罪グループだ。恐喝活動や情報収集を目的に、標的型攻撃による資格情報の窃盗で知られている。主な標的は、欧州と北米の防衛産業や政府機関だ(注1)。

 電気通信業界や金融業界などにも影響が及んでいる。

 特別に作成されたMicrosoft Word文書を利用して「CVE-2023-36884」というゼロデイ脆弱性を悪用した攻撃だ(注2)。

NATOのサミットも標的に

 2023年6月、攻撃者は偽のOneDriveローダーを使用してフィッシングキャンペーンを開始し、RomComに類似したバックドアを配信した。これらの電子メールは、ウクライナ世界会議に関連する文句でユーザーをだますものだ。このときは、欧州と北米の防衛組織、政府機関を標的にした。

 通信機器メーカーBlackBerryの研究者によると、攻撃者はリトアニアで開催されていたNATOのサミットを標的にし(注3)、サミットへの招待状を装った電子メールを配信した。そのメールはハンガリーのIPアドレスから送信されたものだった。

 攻撃者はAdobeの製品やFamatechの「Advanced IP Scanner」、SolarWindsの「Network Performance Monitor」「Orion Platform」、KeePassの製品、Signal Technology Foundationの「Signal」などの人気のあるソフトウェアをトロイの木馬化したバージョンを使用してバックドアをインストールする。

 この攻撃者は金銭的な動機に基づいた攻撃の際に「Industrial Spy」ランサムウェアを使う(注4)。このランサムウェアは2022年5月に初めて発見されたものだ。

 「組織は全てのOfficeアプリケーションによる子プロセスの生成をブロックすべきだ」とMicrosoftは述べる(注5)。

 なお、Microsoftによれば「Microsoft Defender for Office 365」の最新版を利用している場合は、「CVE-2023-36884」を用いた攻撃を検出できるという。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。