ピックワールド(PIC World)

インフォメーション

この記事は 2017年12月25日 に以下のカテゴリに投稿されました Security.

この記事のタグ

, , , , , , , , , ,


2017年11月のマルウェア検出レポートを公開(キャノン IT ソリューションズ) – Office 数式エディターの脆弱性を悪用した攻撃の出現

新たな脅威として、Microsoft Office 数式エディターに存在する脆弱性(CVE-2017-11882)を悪用した攻撃が確認されたと。

Word の添付ファイルでばらまかれているようだけれど。これはまだ遭遇したことがないかも。

もしもダウンロードして、開いてみると数式エディが起動して、タ~イヘンなことになっちゃうみたいです。

ご注意下さい。

以下、毎月お知らせしているキャノンITソリューションズが公開している2017年11月のマルウエア検出レポートです。

2017年11月のマルウェア検出レポートを公開
~ソフトウェアの脆弱性を悪用した攻撃を検出~
キヤノンITソリューションズ株式会社

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:神森 晶久、以下キヤノンITS)は、2017年11月のマルウェア検出状況に関するレポートを公開しました。

2017年11月のマルウェア検出レポートを公開 - キャノンITソリューションズ

2017年11月のマルウェア検出レポートを公開 – キャノンITソリューションズ

■2017年11月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年11月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2017年11月のマルウェア検出状況に関するレポート
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1711.html

■11月の概況
11月に国内で最も多く検出されたマルウェアは、LNK形式のダウンローダー(検出名:「LNK/TrojanDownloader.Agent」)です。LNK形式のダウンローダーは、Windowsに標準で搭載されているcmd.exeやpowershell.exeを悪用し、別のマルウェアをダウンロードします。
また、10月に増加した「VBA/DDE」(https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1710.html#anc_02)が、11月も多く検出されました。

■Microsoft Office数式エディターの脆弱性を悪用した攻撃の出現
11月は新たにMicrosoft Office数式エディターに存在する脆弱性(CVE-2017-11882)を悪用した攻撃が確認され、その検出数は14位でした。
本脆弱性への攻撃コードを含む悪性のWord文書がメールに添付され、「Ursnif(アースニフ)」と呼ばれるバンキングマルウェア(バンキングサイトの認証情報等を窃取するマルウェア)のダウンローダーとして使われた事例を確認しています。

Microsoft Office数式エディターの脆弱性を悪用した攻撃の事例

Microsoft Office数式エディターの脆弱性を悪用した攻撃の事例

数式エディターは、Microsoft Office 2003以前のバージョンで数式を入力するために搭載されたソフトウェアで、Microsoft Office 2007以降においても互換性を確保するために搭載されています。しかしながら、このソフトウェアは2000年以来一度も更新されていませんでした。
本脆弱性を悪用した攻撃は特に日本国内における検出が顕著であり、日本のユーザーを狙った攻撃に多く使われていたことがわかります。ESET製品では、このような攻撃に利用される悪性のWord文書を「Win32/Exploit.CVE-2017-11882」として検出し、その後の脅威を防ぎます。

Win32/Exploit.CVE-2017-11882の検出数の国別比率(11月)

Win32/Exploit.CVE-2017-11882の検出数の国別比率(11月)

この脆弱性に対する修正プログラムは既に公開されているので(※1)、速やかに適用することを推奨します。すぐに修正プログラムを適用できない場合は、Microsoft Officeの数式エディターを無効にすることを推奨します(※2)。マルウェアラボでは、数式エディターを無効にすることで本脆弱性に対する攻撃を回避できることを確認しています。
※1 2017 年 11 月のセキュリティ更新プログラム
https://blogs.technet.microsoft.com/jpsecurity/2017/11/15/201711-security-bulletin/
※2 数式エディターを無効にする方法
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0

■Windows Movie Makerを改ざんした偽プログラムの増加
11月上旬に「Windows Movie Maker」を改ざんした偽プログラムの検出が増加しました。この偽プログラムは11月初めに検出が増加し、11月2日には世界で検出されたすべてのマルウェアのうち、3番目に多く検出されたマルウェアとなりました。
この偽プログラムは、すでに配布が終了しているMicrosoft社製の無料ビデオ編集ソフトウェア「Windows Movie Maker」を改ざんしたものです。実行すると「Windows Movie Maker」のトライアルバージョンを装ったプログラムがインストールされ、プログラム起動時に、フルバージョンを購入するように要求するメッセージと購入ボタンが表示されます。購入ボタンをクリックすると住所や氏名、クレジットカード番号の入力を要求されます。

偽プログラムを購入するよう要求するメッセージ

偽プログラムを購入するよう要求するメッセージ

この偽プログラムの検出数が急増したのは、偽プログラムを配布しているウェブサイトが検索サイトの検索結果で上位に表示されたため、多くのユーザーが攻撃者の用意したウェブサイトにアクセスしてしまったことが原因の1つと考えられます。

検索サイトでの”Movie Maker”の検索結果表示

検索サイトでの”Movie Maker”の検索結果表示

ソフトウェアのダウンロードや個人情報の入力の際は、検索順位に関わらず、そのサイトが信頼できるサイトであるかどうかを慎重に判断してください。
ESET製品では、この偽プログラムを「Win32/Hoax.MovieMaker」または「Win32/InstallMonetizer.AU」として検出します。また、この偽プログラムをダウンロードするウェブサイトにアクセスした場合は、ESET製品が通信をブロックします。

ご紹介したように、11月はソフトウェアの脆弱性を狙った攻撃や偽のプログラムを配布する攻撃が確認されました。常に最新の脅威情報をキャッチアップすることが重要です。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
https://eset-info.canon-its.jp/malware_info/

※ESETは、ESET, spol. s r.o.の商標です。

以上

すでに、対処策が明示されているので、少しは安心ですが、注意するに越したことはないですね。

次から次へと出てくるので、対応が大変ですが、やっぱり頻繁にアップデートをチェックして、システムは最新の状態にしておくことが基本です。

投稿者のプロフィール

minorus
minorus
電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。

コメントを残す

最近の投稿

最近のコメント

アーカイブ