ダウンロードされた不審なExcelファイル

ファイル名の末尾にはあまり見慣れない「.xll」という拡張子がありますが、これはMicrosoft Excelのアドインファイルです。
  新型コロナウイルス関連の資料を装うおとりファイル

XLLファイルは「Warzone RAT」というマルウェアに感染するものでした。RAT（Remote Administration Tool または Remote Access Trojan）とは、遠隔操作型マルウェアです。「乗っ取り」の手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。今回の日本医師会を騙ったメールは、文章が日本語で記述され、おとりのファイルも日本語で作成されていました。明らかに日本をターゲットにしたものと想定されます。XLLファイルを用いた攻撃について、サイバーリスク情報を無償で提供する弊社「Dアラート」でも何度か発出しております。
▼
・08/27から発生していたマルウェア（Warzone RAT）に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=146
・08/12から発生していたマルウェア（Vidar）に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=144

サンドボックスやアンチウイルスをすり抜けるExcelアドイン
・サンドボックスで挙動を再現できない場合がある
サンドボックス製品でインストールされているExcelが古いバージョンの場合、アドインを動かすことができず悪性の挙動を検知できません。また、一部のサンドボックス製品においては新しいバージョンのExcelを使っていても、XLLファイルをExcelで開くように処理ができておらず、アドインの悪性の挙動を検知できていないものがありました。

・アンチウイルス製品での検知率が低い
オンラインマルチスキャンサービスを使って確認したところ、アンチウイルス65製品中2製品しか検知していなかったものもありました。もちろん確認する時間によって異なりますし、時間が経てば各アンチウイルス製品にシグネチャ（マルウェアや不正アクセスといった攻撃の特徴的なパターン）が登録されるため検知できる製品数は増えていきます。しかし、アンチウイルス製品に登録される前の、メールがばらまかれた当時にはアンチウイルスの検知をすり抜けているということが考えられます。

▶セキュリティ対策の新定番！「ホワイト運用」を実現
情報システム部門の運用負荷を削減でき、安全にアクセスできる情報のみ触れることができる「ホワイト運用」で、受信したすべてのメールを開け、アクセスしたいWebをクリックできるセキュアな世界を実現しませんか。「m-FILTER」Ver.5では、メールにXLLファイルが添付されている場合には偽装メール対策「添付ファイル偽装判定」により、添付ファイルを"実行形式ファイル"および"禁止拡張子"として危険性のあるファイルと判定するため、メールの受信を防ぐことが可能です。「i-FILTER」Ver.10では、「ダウンロードフィルター」機能によりWebからのXLLファイルやその他の危険なファイルのダウンロードを防ぐことが可能です。
▶添付ファイル偽装判定　https://www.daj.jp/bs/mf/#mf_func02
▶ダウンロードフィルター　https://www.daj.jp/bs/i-filter/#if_02_f01
▶デジタルアーツの「ホワイト運用」https://www.daj.jp/bs/ifmf/

▶見慣れないXLLファイル（Excelアドイン）を使う攻撃についてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート　https://www.daj.jp/security_reports/211005_1/