パスワードを忘れた? アカウント作成
Close
15739818 story
セキュリティ

オープンドキュメント形式のマルウェアが確認される。感染はユーザーによる操作などが必要 19

ストーリー by nagazou
あらゆる手段で 部門より
窓の杜の記事によると、ISO標準のファイル形式であるオープンドキュメント形式で作られたマルウェアが発見されたそうだ。確認されたマルウェアはテキスト文書(ODT)の体裁をとっており、開いてしまうと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが表示される。ユーザーが[はい]ボタンを押してしまうと「Excel」が起動、今度はマクロを有効にするかを問うダイアログが表示される。さらにマクロを有効にすると、「AsyncRAT」と呼ばれるマルウェアが実行されるとしている(窓の杜)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンドキュメント形式のマルウェアが確認される。感染はユーザーによる操作などが必要 More

  • マルウェアへのショートカット機能としてODF形式が使われているだけで、実体はExcelマクロだし、ローカルにExcelをインストールしていてExcelが起動したときに出るダイアログでマクロを意図して有効にしないと稼働もしない、と。
    それは果たして「オープンドキュメント形式のマルウェア」と称しても良いモノなのだろうか……。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される

    • Re: (スコア:0)

      by Anonymous Coward

      OpenOfficeやLibreOfficeでも動くのだろうか

      • Re: (スコア:0)

        by Anonymous Coward

        OpenOfficeやLibreOfficeでも動くのだろうか

        一応動くということにはなっていますが想定通り動いたらラッキーな程度の実装ですかね

        # このケースでは動かないのがラッキーだが

    • Re: (スコア:0)

      by Anonymous Coward

      実態はともかく注意喚起としては「オープンドキュメント形式のマルウェア」と称するのが良いのでは

    • Re: (スコア:0)

      by Anonymous Coward

      ZIP形式のマルウェアも既に多数存在しているのではないでしょうか?

    • Re: (スコア:0)

      by Anonymous Coward

      > このODTファイルそのものにはマクロが含まれておらず、「styles.xml」からリモートでホストされているOLEオブジェクトを呼び出す仕組みになっていることも、マルウェアとして検出されない一因かもしれない。

      見つかった奴はExcelだが、これ応用すれば結構いろいろ出来るんじゃ無いの?
      単にダイアログの説明の仕方が悪いだけの様な気がしますね。
      「インターネットからデータを取得しようとしています、よろしいですか?」くらいの説明なら良かったのかも。

      アプリが高機能化すると、だんだんブラウザの様になっていって、必ずインターネットからデータ取ってきてやらかすってのが運命なので、これからも繰り返されるんでしょうね。

  • 此って (スコア:0)

    by Anonymous Coward on 2022年07月25日 14時22分 (#4295262)

    自社サイト内は安全宣言では無いよね?

  • もはやExcelマクロというもの自体が害悪 (スコア:0)

    by Anonymous Coward on 2022年07月25日 14時40分 (#4295270)

    せめて通信やファイルアクセスを禁じたサンドボックスでも用意すればマシなのに、それすらしない。
    自動処理をしたいなら外部プログラムで操作すれば良いだけだし、もはや存在の意義がなく、負の遺産でしかない。

    • Re: (スコア:0)

      by Anonymous Coward

      今やデフォルトとの挙動になってる「保護ビュー」がサンドボックスそのものなんだけど、違う名前だから気が付かなかったのかな?

      • Re: (スコア:0)

        by Anonymous Coward
        保護ビューは全然別モノでしょ
        不安を煽るバーを表示するだけで実際には何も保護しない

        • Re: (スコア:0)

          by Anonymous Coward

          >不安を煽るバーを表示するだけで実際には何も保護しない。
          本当に?
          ちゃんと確認した?

          • Re: (スコア:0)

            by Anonymous Coward

            この俺様ですら知らないマイナー機能なんだからまともに保護なんかするわけないに決まってるだろう。
            確認するまでもない。

    • Re: (スコア:0)

      by Anonymous Coward

      その外部プログラムにマルウェアが仕込まれていない保証がないので、あなたの意見は意味ない。

    • Re: (スコア:0)

      by Anonymous Coward

      仮にExcelマクロを無くして、RPA用ソフトウェアで似たような事をやろうとするとしましょう
      次はRPAを悪用したウィルス・マルウェアが出てくるだけだと思いますよ

      • Re: (スコア:0)

        by Anonymous Coward

        表計算ソフトに色々出来る機能があるのがマズい(会計や請求書か何かだと思って開く)ので、思い切ってRPA専門ソフトに分離してしまうのはアリだと思う。

      • Re: (スコア:0)

        by Anonymous Coward

        知らないexcelファイルを開かせるのと、知らないexeファイルを開かせるのでは天と地ほどの差がある。
        カジュアルに開いてしまうことが問題を大きくしているのだから、通常扱うファイル形式での任意コードの実行を禁じていれば問題は小さくなり、emotetなんて流行らなかっただろう。

      • Re: (スコア:0)

        by Anonymous Coward

        #4295484も#4295489も知識のアップデートが遅れているのでしょうが、マクロは自動でブロックされます。
        実行できるのは信頼できるマクロだけ。

        今度はマクロを有効にするかを問うダイアログが表示される。さらにマクロを有効にすると、「AsyncRAT」と呼ばれるマルウェアが実行されるとしている。

        つまりこのレベルなんだからexcel以外になっていたとしてもお察し。

        • Re: (スコア:0)

          by Anonymous Coward

          えーと、マクロ既定無効なのに、emotetがどうして大流行したんでしょうか。
          「この文書を有効にするには、上のバーの"有効化"をクリックしろ」とか適当なこと書いてマクロ有効に誘導してくるのはご存じでない感じですかね?

          最初からexeとかだったらだいぶ感染率下がると思いますよ・・・

          • Re: (スコア:0)

            by Anonymous Coward

            たぶん最新にアップデートされている#4295638の知識の中では、すべてのユーザがマクロの危険性を完全に理解していて誰一人保護ビューを解除したりしないのでしょう。

            あなたもきちんと知識をアップデートして現実から目をそらせば理解できますよ。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人