履歴書zip/docxウイルス!? Officeの脆弱性を悪用する標的型メールで感染攻撃
 
イメージ 1
(Image いやすとや)
 
オフィスソフト Microsoft Office などに存在する危険な 脆弱性(CVE-2013-3906) を悪用する Word文書ファイル を添付した Eメールによる標的型攻撃 が確認されたそう。
 

Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 ~不審メールへの警戒、緊急対策の実施を~ IPA 情報処理推進機構
http://www.ipa.go.jp/security/topics/alert20131120.html 

履歴書を装う文書ファイルのウイルス検出名は?

オンラインスキャンサイト VirusTotal には、この不正なWord文書ファイル(拡張子 .docx)と思しきブツがアップロードされてました。
履歴書.docx

ファイルサイズ 433,163 バイト
アップロード日 2013年11月
MD5ハッシュ値 d309dd0b886dfd71bb9d95fc592d63d3

avast! MW97:ShellCode-CK [Expl]
AVG  Exploit_c.YWT
Avira EXP/CVE-2013-3906
BitDefender  Exploit.CVE-2013-3906.Gen
ESET Win32/Exploit.CVE-2013-3906.A
F-Secure Exploit:W32/CVE-2013-3906.C
K7 AntiVirus  Trojan ( 0001140e1 )
Kaspersky Exploit.MSOffice.CVE-2013-3906.a
McAfee Exploit-CVE2013-3906
Microsoft Exploit:Win32/CVE-2013-3906
Sophos Troj/DocDrop-AP
Symantec Trojan.Hantiff
TrendMicro TROJ_ACTIFF.C
 
> www.virustotal.com/ja/file/943b15adb87d9c470c6350a5d30d047ffc3886d69e4922656a40a01220fe4383/analysis/1385007923/
 
その攻撃手口は、メールの添付ファイルとしてZIP形式の圧縮アーカイブを送りつけて、これを手動で展開・解凍した中身のWord文書ファイルを ダブルクリック して開くことで侵害されます。
 
【メールの添付ファイル】
履歴書.zip
 ↓ ユーザーが手動で展開・解凍する
履歴書.docx
 
ファイル名を工夫してユーザーをうまくダマすトリック…
  • 履歴書.doc.scr
  • 履歴書.pdf (~ものスゴイ長いスペース~) .exe
みたいにWindows向け 実行ファイル スクリーンセーバー を装っておらず、表面的に不正なものと見抜くのが難しい docxファイル を採用できるというのは恐ろしいですな~。
 
特定の組織に侵入を試みたいサイバー犯罪者が、対外的に開かれてる公開メールアドレスに人事宛と称して ”履歴書” 名目でファイルを送る、というのは理にかなってます。

doc と docx の違いは?

ちなみに、Officeファイルの 拡張子「.doc」は従来のWord文書の形式で、「.docx」は Office 2007 から導入された新しい形式になります。
 
「.docx」は マクロの処理 を組み込むことができない制限もあるので、通常は安全と考えて問題ない種類だけど、このような脆弱性を突くと危ないことに。。。 
 
ちなみに、新しい形式でマクロの処理を含むことができる専用の拡張子に「.docm」が用意されていて、一般ユーザーに影響がある マクロウイルス は確認されてます。
 

 
<2013年12月 追記...>
 
Windows Update にて脆弱性 CVE-2013-3906 を解消する更新パッチが配信されましたー。 <無料ウイルス対策に更新を必ず!
 
Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される - マイクロソフト セキュリティ情報 MS13-096 - 緊急
https://technet.microsoft.com/library/security/ms13-096
関連するブログ記事