is702
ニュース

PowerPointを使ってウイルスを送り込む攻撃を確認

2017/06/20

トレンドマイクロは6月19日、公式ブログで「マウスオーバとマクロを利用、PowerPoint文書閲覧時に感染させる攻撃手法に注意」と題する記事を公開しました。

それによると、PowerPointのスライド(PPS/PPSXファイル)を使ってマルウェア(不正プログラム、ウイルス)を送り込む、新しい攻撃手法が5月に確認されたとのことです。「Microsoft PowerPointShow(PPS)」「Microsoft PowerPoint Open XML SlideShow(PPSX)」は、完成した状態のプレゼンテーションとして、直接スライドショーモードで開くためのファイル形式です。

今回の攻撃では、請求書や注文書に偽装したスパムメールに、PPS/PPSXファイルが添付されていました。このファイルを開き、ハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を行うと、「セキュリティに関する通知」がポップアップ表示されます。ここでコンテンツの実行を許可すると、埋め込まれた不正なPowerShellスクリプトが実行され、マルウェアに感染する、という手法でした。この手法を利用したダウンローダは、バンキングトロジャン「OTLARD(オットラード)(別名:Gootkit)」の亜種と見られています。

なお、オフライン版またはデスクトップ版ではマクロアクション機能が提供されていないため、マウスオーバーによる攻撃は、「Microsoft PowerPointOnline」「Office 365」の「Webモード」では動作しないとのことです。一方で「Office 365」のクライアントソフトウェアで不正ファイルを開いた場合は、感染の可能性が残ります。

対策としては、「保護されたビュー」を利用することで、感染の可能性を軽減できます。またシステム管理者は、今回の攻撃で利用されている機能を、無効にするあるいはグループポリシーの許可設定によって実行不可能にすることで、脅威に対抗できるでしょう。業務上必要な場合のみマクロやマウスオーバー機能を有効にする、マクロを許可するようにしてください。




不正なPPSXファイルにより、「セキュリティに関する通知」がポップアップ表示された例<br />

不正なPPSXファイルにより、「セキュリティに関する通知」がポップアップ表示された例


  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ