パキスタン空軍名を騙った標的型攻撃

ソーシャルエンジニアリングを使用して受信者の注意を引き付け、マルウェアを仕込むのは、小説の中だけのことではありません。人気セレブの話題や災害など、注目度の高いニュースを巧みに使用するのが、現在のマルウェア拡散方法における主流の手口です。このような脅威は、マルウェアを呼び込むメールや有害な検索エンジンの結果として届けられます。2009年は、マイケル・ジャクソン(Michael Jackson)の死去ベナジル・ブット(Benazir Bhutto)パキスタン元首相の暗殺のような出来事が、マルウェア拡散の際のトピックとして使用されました。最近では、注目度の高いさまざまなユーザーに対する標的型攻撃用のOLEファイルの数が増えていることが分かっています。今回はその一例として、パワーポイントを使用した標的型攻撃を紹介しましょう。

このソーシャルエンジニアリングを使用した手口では、まずメールがユーザーに届きます。メールは、パキスタン空軍に関する情報を含むと書かれており、パワーポイントが添付されて送られていきます。脆弱なバージョンのパワーポイントを使用しているユーザーがこの添付文書を開くと、脆弱性が利用され、悪意のあるペイロードが実行されます。

この脆弱性は、パワーポイント内の不正な形式の記録とともに存在し、これが利用されると悪性コードを実行する可能性があります。シェルコードは、PEB(プロセス環境ブロック)アプローチを利用して、下記のスクリーンショットのようにkernel32.dllベースのアドレスを決定します。

パワーポイントの脆弱なバージョンでファイルを実行すると、シェルコードそのものが解読され、悪意のあるバイナリが実行されます。

悪意のあるPPTファイルは、ms06-028セキュリティ情報でマイクロソフト社がパッチを公開した古い脆弱性を悪用します。現在のウイルス定義ファイルで、この攻撃はExploit-PPT.hとして検出され、作成された悪意のある実行ファイルは、BackDoor-EFBとして検出されます。怪しいメールに添付されているファイルはできる限り開かないように気を付けて戴くと同時に、パッチの適用状況について必ずご確認ください。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Blast from the past: Fresh wave of targeted attacks using PowerPoint

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速