パスワードを忘れた? アカウント作成
13307336 story
spam

PowerPointのハイパーリンクを悪用し、ホバーするだけでマルウェアをインストールする攻撃 32

ストーリー by hylom
不明なファイルはとりあえず開くな 部門より
headless曰く、

PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ(TrendLabs Security Intelligence BlogDodge This SecurityNeowinArs Technica)。

使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月12日 16時19分 (#3226130)

    何かしらダイアログが出たときにすぐOK押す人がいる
    少し立ち止まって確認してねっていう意味なのに無条件で了承してしまう
    そういう人ばっかりだよね

    UACとかレジストリいじって無効にしたり回避したりするのも意味わかった上でしてるのか気になる
    Googleで”Windows UAC”と検索すると無効とか回避だの単語がサジェストされる時点でおかしいんだよ

    玄関ノックされれば何も疑わずすぐドア開けるの?
    身元も用事も確かめないうちに開けるの?
    それと同じだとなぜ気がつかないのだろう

    • 確認ダイアログを、「開きますか? はい/いいえ」「無視しますか? はい/いいえ」とかランダムに切り換えるようにするとか。

      親コメント
    • by Anonymous Coward on 2017年06月12日 21時08分 (#3226439)

      そもそも、ダイアログの文面読んでませんし、そういう人は。

        「なんて書いてあった?」って訊いて、ろくな解答が帰ってきた記憶が無い。
      実は日本語より英文のほうがまだまし。「なんか英語が出てきました」って耳かき一杯程度の情報は手に入る。

      親コメント
    • by Anonymous Coward

      無駄な確認画面で溢れかえっているのが悪い
      全ての確認画面に「次回以降確認しない」のようなチェックボックスの設置を義務付ければだいぶマシになるだろうに

      • by Anonymous Coward

        そんなもの付けたら地獄になるのは目に見えてる。
        そんでチェックしたやつの自己責任とか言うんでしょ?

        • by Anonymous Coward

          いや毎回聞かれるから機械的にOKするんで有って
          たまにしか聞かれないならちゃんと考えるぞ。

          「次回以降確認しない」をつけなかったのは頭足りないと思う。

          • 「次回以降…」を選んだ後、それを取り消しす方法が見つからなくて困ることがよくあるので、ずっと選択しないでおきたくなる。
            親コメント
          • by Anonymous Coward
            現実問題として、たまにしか確認されることはないし、頻繁に出るものではない。
            頻繁に聞かれているのなら、異常なアプリを使ってる状態なので、その環境を変えるべき。
      • by Anonymous Coward

        未保存の文書があるわけでも終了したら起動するのに何十秒もかかるわけでもないソフトの「終了してよろしいですか?」のように本当にどうしようもない無駄な確認ダイアログを実装した奴を可能な限り苦しい方法で処刑するために全人類が総力を挙げて処刑方法の開発にいそしむ法律の方が必要だ

    • by Anonymous Coward

      そう言えば
      rm -rf / も安全になったと言っても
      結局実行前に確認するだけなんだよな
      開発者モードの廃止で被害者が増えそうだ
      でも、ダイアログのOK押すより
      y+リターンの方が少しは慎重になりそうな気がするが
      還付金詐欺のATM操作より単純だし
      この手のセキュリティホールはどうしようもないのかなあ

  • by Anonymous Coward on 2017年06月12日 16時44分 (#3226161)
    何で文字列と見たら何でもかんでも実行しちゃうの
    • by Anonymous Coward

      jseファイルをInvoke-Itemしてもメモ帳が開くだけならそもそも問題は起こらなかった
      Microsoftはデフォルトの関連付けが危険すぎる

      • by Anonymous Coward

        元コメを含めて理解が低すぎる。
        とりあえずMSのせいにしとけばいいと思ってるだろ。

        Office VBAにしろ(それが呼び出す)PowerShellにしろ、
        現在のユーザ権限におけるあらゆるシステム操作が可能な完全なプログラミング言語なんだから、
        実行を許可した時点で、なんでもできてしまうのは避けようがない。
        文字列評価だのファイルの関連付けだのまったく関係がない。
        実際、ストーリーにも元記事にも、OfficeやPowerShellの脆弱性とは一言も書いていない。
        これはソーシャルハッキングであって脆弱性に対する攻撃ではないからだ。

        できるのは、Officeファイルは実行プログラムと同じ程度の危険性があることを理解して、
        外部から入手したファイルを慎重に扱うよう教育することだけ。

        • by Anonymous Coward

          すみませんが、教えてもらえると嬉しいです。

          できるのは、Officeファイルは実行プログラムと同じ程度の危険性があることを理解して、
          外部から入手したファイルを慎重に扱うよう教育することだけ。

          このような危険性は、管理者権限のない一般ユーザで利用していれば回避できますか?
          それとも一般ユーザでも危険ですか?

          • by Anonymous Coward

            現在のユーザ権限におけるあらゆるシステム操作が可能な完全なプログラミング言語

            一般ユーザでも実行されます。

            • by Anonymous Coward

              ありがとうございました! 一般ユーザでも気を付けます!

  • by Anonymous Coward on 2017年06月12日 16時57分 (#3226184)
    「ホバーする」でWindows95についてたゲームを思い出した
  • by Anonymous Coward on 2017年06月12日 17時07分 (#3226197)

    ホバー(hover)って、cssあたりの用語だと思っていたけど、いまやパワポでも使うんですね。パワポじゃ「マウスオーバー」(MS的には確か「マウスの通過」だったかな)が一般的と思ってた。

    • by Anonymous Coward

      WM_MOUSEHOVER message [microsoft.com]

      Windows 2000のころからあります。
      (TrackMouseEvent仕掛けないと送られてこないけど)

    • by Anonymous Coward

      ホバーとオーバーはまたいくらか違う操作です。
      具体的には、オーバーは乗った瞬間(および乗っている間)で、ホバーは少しの時間乗り続けたとき、です。

  • by Anonymous Coward on 2017年06月12日 22時22分 (#3226506)

    記事上の「1,444件の検出」って、検疫に回した分だけ?
    それとも今はそうでなくても何が検出された情報が回るようになってるのかな。
    わたしきになります

    • by Anonymous Coward

      最近はクラウド上のパターンファイルと照合しているから、検体が提出されなくてもアンチウイルスベンダーが検出数を把握できるよ

  • by Anonymous Coward on 2017年06月12日 23時27分 (#3226563)

    ようだ。

    保護ビューはインターネットから取得したOfficeファイルに対して制限を加える機能だが、
    今回のホバー実行を食い止めているのはこの機能でなく、「PowerPointのセキュリティに関する通知」というもので
    試した限り、永続的に設定を有効化することはできない模様。
    つまり、「すべて有効にする」ボタンを押しても、ppsxファイルを閉じ再度開くとまた確認ダイアログが表示されてしまう。

    ご丁寧に太字で セキュリティに影響を及ぼす可能性のある問題点が検知されました と警告するダイアログを無視して
    実行を許可しマルウェアの侵入を受け入れるユーザーを救えというのは無理な話と思われる。

    • by Anonymous Coward

      ここまでいくともうわざとセキュリティホール作っているんだなとしか思わないな。

  • by Anonymous Coward on 2017年06月13日 5時27分 (#3226652)

    お金払ってまでわけわからんパワポについてきたスクリプト実行したい人、そうはいないでしょ?

    • by Anonymous Coward

      マウスオーバーでのプログラム実行はPowerPointのファイル形式に定義されてるハイパーリンクに設定可能な挙動で、
      PowerPoint側のスクリプト、マクロとは無関係なんよ。

      • by Anonymous Coward

        わかんないかな、警告が出るようなものは、「有効にしますか」の代わりに「お金払って」にしちゃえってこと。

  • パワポってそんなんでプログラム実行指示できんの?と思って、手元のPowerPoint2016開いたら、確かにあった...知らんかったなぁ、これ。

    でも、マウスの通過でサウンド再生とかはわかるけど、プログラムの実行ってなんに使うんだろう?
    プレゼンやんないからこれの便利さがさっぱりわからん。

    • by Anonymous Coward
      マルウェアの実行に使うんじゃないの?
      破壊的なウィルスじゃなくても例えば広告を表示するとか個人情報を収集するとかさ
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...