【5月オンラインセミナー】GIGAスクール構想第2期に求められる学習用端末の利用条件・ICTを活用した授業支援のポイントや、IDaaSで実現するフィッシング対策をご紹介
- 2024年04月19日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
見慣れないXLLファイル(Excelアドイン)を使う攻撃に要注意!
- デジタルアーツ株式会社
- 2021年10月05日
- 10:00
~サンドボックスやアンチウイルスをすり抜けるExcelアドインとは?~
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、まだ注意喚起がほとんど行われていないXLLファイル(Excelアドイン)を使う攻撃についてのセキュリティレポートを公開したことを発表いたします。
昨今、見慣れないXLLファイル(Excelアドイン)を使う攻撃が増えています。弊社が入手した不審なXLLファイルをもとに、どのようにマルウェアに感染するのか検証しました。また、XLLファイルの懸念点として、サンドボックスで挙動を再現できず、アンチウイルス製品での検知率が低いことが判明しました。
見慣れないXLLファイル(Excelアドイン)を使う攻撃が増加中
2021年9月2日、日本医師会を騙る不審なメールがばらまかれているとして、日本医師会の公式サイトにて注意喚起が発出されました。
【注意喚起】日本医師会を騙る不審メールの流通について
https://www.med.or.jp/nichiionline/article/010228.html
左:日本医師会を騙る不審メールの例(公式サイトより)
右:日本医師会を騙る不審メールの例(注:報告情報をもとに弊社で再現)
メールに記載のリンクをクリックすると、インターネット上からExcelファイルのダウンロードがされたとのことです。デジタルアーツでは、この不審なExcelファイルを入手しました。XLLファイルを使用した攻撃は海外では観測されているものの、国内ではあまり観測されておらず、また注意喚起もほとんど行われていません。
メールから誘導される不審なファイルはExcelのアドインファイル
ダウンロードされた不審なExcelファイル
ファイル名の末尾にはあまり見慣れない「.xll」という拡張子がありますが、これはMicrosoft Excelのアドインファイルです。
新型コロナウイルス関連の資料を装うおとりファイル
XLLファイルは「Warzone RAT」というマルウェアに感染するものでした。RAT(Remote Administration Tool または Remote Access Trojan)とは、遠隔操作型マルウェアです。「乗っ取り」の手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。今回の日本医師会を騙ったメールは、文章が日本語で記述され、おとりのファイルも日本語で作成されていました。明らかに日本をターゲットにしたものと想定されます。XLLファイルを用いた攻撃について、サイバーリスク情報を無償で提供する弊社「Dアラート」でも何度か発出しております。
▼
・08/27から発生していたマルウェア(Warzone RAT)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=146
・08/12から発生していたマルウェア(Vidar)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=144
サンドボックスやアンチウイルスをすり抜けるExcelアドイン
・サンドボックスで挙動を再現できない場合がある
サンドボックス製品でインストールされているExcelが古いバージョンの場合、アドインを動かすことができず悪性の挙動を検知できません。また、一部のサンドボックス製品においては新しいバージョンのExcelを使っていても、XLLファイルをExcelで開くように処理ができておらず、アドインの悪性の挙動を検知できていないものがありました。
・アンチウイルス製品での検知率が低い
オンラインマルチスキャンサービスを使って確認したところ、アンチウイルス65製品中2製品しか検知していなかったものもありました。もちろん確認する時間によって異なりますし、時間が経てば各アンチウイルス製品にシグネチャ(マルウェアや不正アクセスといった攻撃の特徴的なパターン)が登録されるため検知できる製品数は増えていきます。しかし、アンチウイルス製品に登録される前の、メールがばらまかれた当時にはアンチウイルスの検知をすり抜けているということが考えられます。
▶セキュリティ対策の新定番!「ホワイト運用」を実現
情報システム部門の運用負荷を削減でき、安全にアクセスできる情報のみ触れることができる「ホワイト運用」で、受信したすべてのメールを開け、アクセスしたいWebをクリックできるセキュアな世界を実現しませんか。「m-FILTER」Ver.5では、メールにXLLファイルが添付されている場合には偽装メール対策「添付ファイル偽装判定」により、添付ファイルを"実行形式ファイル"および"禁止拡張子"として危険性のあるファイルと判定するため、メールの受信を防ぐことが可能です。「i-FILTER」Ver.10では、「ダウンロードフィルター」機能によりWebからのXLLファイルやその他の危険なファイルのダウンロードを防ぐことが可能です。
▶添付ファイル偽装判定 https://www.daj.jp/bs/mf/#mf_func02
▶ダウンロードフィルター https://www.daj.jp/bs/i-filter/#if_02_f01
▶デジタルアーツの「ホワイト運用」https://www.daj.jp/bs/ifmf/
▶見慣れないXLLファイル(Excelアドイン)を使う攻撃についてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート https://www.daj.jp/security_reports/211005_1/
昨今、見慣れないXLLファイル(Excelアドイン)を使う攻撃が増えています。弊社が入手した不審なXLLファイルをもとに、どのようにマルウェアに感染するのか検証しました。また、XLLファイルの懸念点として、サンドボックスで挙動を再現できず、アンチウイルス製品での検知率が低いことが判明しました。
見慣れないXLLファイル(Excelアドイン)を使う攻撃が増加中
2021年9月2日、日本医師会を騙る不審なメールがばらまかれているとして、日本医師会の公式サイトにて注意喚起が発出されました。
【注意喚起】日本医師会を騙る不審メールの流通について
https://www.med.or.jp/nichiionline/article/010228.html
右:日本医師会を騙る不審メールの例(注:報告情報をもとに弊社で再現)
メールに記載のリンクをクリックすると、インターネット上からExcelファイルのダウンロードがされたとのことです。デジタルアーツでは、この不審なExcelファイルを入手しました。XLLファイルを使用した攻撃は海外では観測されているものの、国内ではあまり観測されておらず、また注意喚起もほとんど行われていません。
メールから誘導される不審なファイルはExcelのアドインファイル
ファイル名の末尾にはあまり見慣れない「.xll」という拡張子がありますが、これはMicrosoft Excelのアドインファイルです。
XLLファイルは「Warzone RAT」というマルウェアに感染するものでした。RAT(Remote Administration Tool または Remote Access Trojan)とは、遠隔操作型マルウェアです。「乗っ取り」の手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。今回の日本医師会を騙ったメールは、文章が日本語で記述され、おとりのファイルも日本語で作成されていました。明らかに日本をターゲットにしたものと想定されます。XLLファイルを用いた攻撃について、サイバーリスク情報を無償で提供する弊社「Dアラート」でも何度か発出しております。
▼
・08/27から発生していたマルウェア(Warzone RAT)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=146
・08/12から発生していたマルウェア(Vidar)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=144
サンドボックスやアンチウイルスをすり抜けるExcelアドイン
・サンドボックスで挙動を再現できない場合がある
サンドボックス製品でインストールされているExcelが古いバージョンの場合、アドインを動かすことができず悪性の挙動を検知できません。また、一部のサンドボックス製品においては新しいバージョンのExcelを使っていても、XLLファイルをExcelで開くように処理ができておらず、アドインの悪性の挙動を検知できていないものがありました。
・アンチウイルス製品での検知率が低い
オンラインマルチスキャンサービスを使って確認したところ、アンチウイルス65製品中2製品しか検知していなかったものもありました。もちろん確認する時間によって異なりますし、時間が経てば各アンチウイルス製品にシグネチャ(マルウェアや不正アクセスといった攻撃の特徴的なパターン)が登録されるため検知できる製品数は増えていきます。しかし、アンチウイルス製品に登録される前の、メールがばらまかれた当時にはアンチウイルスの検知をすり抜けているということが考えられます。
▶セキュリティ対策の新定番!「ホワイト運用」を実現
情報システム部門の運用負荷を削減でき、安全にアクセスできる情報のみ触れることができる「ホワイト運用」で、受信したすべてのメールを開け、アクセスしたいWebをクリックできるセキュアな世界を実現しませんか。「m-FILTER」Ver.5では、メールにXLLファイルが添付されている場合には偽装メール対策「添付ファイル偽装判定」により、添付ファイルを"実行形式ファイル"および"禁止拡張子"として危険性のあるファイルと判定するため、メールの受信を防ぐことが可能です。「i-FILTER」Ver.10では、「ダウンロードフィルター」機能によりWebからのXLLファイルやその他の危険なファイルのダウンロードを防ぐことが可能です。
▶添付ファイル偽装判定 https://www.daj.jp/bs/mf/#mf_func02
▶ダウンロードフィルター https://www.daj.jp/bs/i-filter/#if_02_f01
▶デジタルアーツの「ホワイト運用」https://www.daj.jp/bs/ifmf/
▶見慣れないXLLファイル(Excelアドイン)を使う攻撃についてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート https://www.daj.jp/security_reports/211005_1/
- 本件に関するお問合わせ先
-
デジタルアーツ株式会社 広報担当 山田 TEL : 090-1555-7254 / E-mail : press@daj.co.jp
※新型コロナウイルス感染症拡大に伴う在宅勤務実施中のため、お電話でのお問い合わせは上記とさせていただきます
この企業の関連リリース
【4月オンラインセミナー】GIGAスクール構想第2期に向けた学習用端末に求められる条件と利活用のポイントや、4月1日施行・改正不正競争防止法「営業秘密」の解説と効果的な情報漏えい対策をご紹介
- 2024年03月22日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
デジタルアーツ GIGAスクール構想第2期を見据え「i-FILTER」の機能を強化 ~文部科学省の定めるスペック基準への対応やICTを活用した授業支援を実施~
- 2024年03月21日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
IDaaS製品「StartIn」にパスキーを用いたパスワードレス認証機能を追加 ~利便性向上とセキュリティ強化を実現し2024年3月18日より提供開始~
- 2024年03月04日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
この企業の情報
- 組織名
- デジタルアーツ株式会社
- ホームページ
- https://www.daj.jp/
- 代表者
- 道具 登志夫
- 資本金
- 71,359 万円
- 上場
- 東証プライム
- 所在地
- 〒100-0004 東京都千代田区大手町1-5-1大手町ファーストスクエア ウエストタワー14階
- 連絡先
- 03-5220-1110
