トレンドマイクロ、Officeの「挿入とリンク」機能を悪用した攻撃を確認

トレンドマイクロは20日、Microsoft Officeの「挿入とリンク」機能を悪用した標的型メールを確認したと、同社のセキュリティグログで発表した。

2015年3月に匿名の受信者に送信されたメールに、「AlSajana Youth Center financial Report.docx」(会計報告書)、「u0627u0644u0645u0639u062Fu064429u0.docx」、「u0625u0646u062Cu0644u064Au0632u0649.doc」と名付けられた3種類のファイルが添付されていた。ファイルやWordに不正なマクロや脆弱性は存在しなかったが、同社はこのうち、後者の2ファイルが裏で不正な通信を行なうことを確認したという。

不正な通信は、Microsoft Wordの正規のプロセス「winword.exe」が不正なURLに接続していたことが原因であることが、同社の検証で判明した。ファイルに挿入したい画像へのリンク(Source file)をWordの「挿入とリンク」機能で設定し、その後ファイルを保存。 Wordはファイル内リンクの更新や変更が可能なため、ファイル保存後にリンクの内容を他のものと置き換える、もしくはファイル内のリンクを変更することで、不正なURLをファイルに設定したとみられる。