パスワードで保護された悪意のあるファイル:セキュリティポリシーよりもビジネス上の意思決定を優先する問題

攻撃者は、企業のサイバーセキュリティ防御を回避する新しい方法を常に考案しています。フィッシング攻撃とマルウェアの配信の両方がどのように進化しているかを考えてみましょう。この場合、パスワードで保護されたファイルを介してエンドポイントに感染します。すべての組織にとってリスクが高まっています。

フィッシング攻撃は、疑いを持たないターゲットから認証情報を収集する目的であれ、マルウェアのペイロードを配布するために仕組まれたものであれ、ほとんどすべてのフィッシング攻撃が電子メールで行われていた時代がありました。もうありません。今日、メールはかつての唯一のコミュニケーションチャネルとしての地位を失ったため、脅威アクターはテキスト、ソーシャルメディア、ダイレクトメッセージング、コラボレーションツールなど、他のコミュニケーションチャネルを標的にすることが増えています。攻撃者は、さまざまなソーシャルメディア通信チャネルに目を向け、ソーシャルエンジニアリングの戦術を改善しているだけではありません。また、悪質なペイロードを含むパスワードで保護されたファイルという、古くて非常に効果的な回避手法も使用しています。

彼らの目標は、企業がメールを保護するために導入している保護対策、つまりウイルス対策、コンテンツフィルター、署名ベースのセキュリティツールを回避することです。攻撃者は、電子メールとは異なる通信チャネルを介してフィッシング攻撃を送信し、暗号化によって悪意のあるペイロードを巧みに隠すだけで、新しい配信経路を見つけるだけです。

パスワードで保護された悪質なファイルとは

攻撃者は、通常はフィッシングメールを介して配信されるパスワードで保護されたファイルを使用して、広く使用されている正当なファイル形式のペイロードを難読化します。攻撃者はこれらのファイル内のペイロードを暗号化することで、従来のマルウェア対策エンジンやコンテンツフィルターがこのような悪質なコンテンツを特定して阻止することをはるかに困難にします。パスワードで保護されたファイルがマルウェアに感染するリスクがあるにもかかわらず、生産性が大幅に低下する可能性があるため、ほとんどの組織は電子メールゲートウェイでそれらをブロックしないことを決定しています。

攻撃者が悪意のあるペイロードを配信するために最も頻繁に使用するパスワード保護ファイルには、Microsoft WordやExcel（MicrosoftがWord文書でマクロを無効にしていたため、現在ではより一般的になっています）、PDFファイル、ZIPファイルなどがあります。

これらの攻撃の仕組みを見てみましょう。

一見無害に見えるパスワードで保護されたファイルが電子メールで送信され、セキュリティ防御をすり抜けてエンドポイントに感染する仕組み:

パスワードで保護されたファイルは暗号化されているため、パスワードがないとアクセスできず、ほとんどのセキュリティツールでは開いたり調べたりすることができません。これが一般的な組織で実施されている防御にどのような悪影響を及ぼすかを考えてみてください。脅威アクターは、パスワードで保護されたファイルをソーシャルメディアのメッセージや電子メールで送信します。攻撃のソーシャルエンジニアリング的側面に信頼性を加えるため、攻撃者は請求書や財務情報など、標的を騙すようなファイル名を使用します。また、攻撃者は、正当性をさらに高めようとして、保護されたファイルに別の通信でパスワードを SMS 送信したり、電子メールで送信したりすることもあります。

その後、マルウェアを含むパスワードで保護されたファイルは、次のことを管理します。

ネットワークまたはゲートウェイのセキュリティ防御を回避

ファイルは一般的に使用されるファイル拡張子で暗号化されているため、組織はファイルが電子メールゲートウェイを通過し、セキュリティサンドボックスまたは自動分析ツール（パスワードがない）を経由してユーザーに渡すことを許可しています。このファイルがネットワークセキュリティのスキャンエンジンに遭遇すると、(ビジネスの生産性上の懸念から) エンドユーザーへの送信が再び許可されます。

エンドポイントの検出を回避

フィッシングメールと添付ファイルがついにエンドポイントに到達します。信頼できるベンダーを装った場合でも、組織内の別の部署の人物になりすましても、攻撃者はなんとか特定の割合のユーザーを騙して添付ファイルをクリックさせ、提供されたパスワードを入力させます。ユーザーが文書または埋め込まれたリンクをクリックすると Web ブラウザーが起動し、エンドポイントが感染します。

前述のように、攻撃者はメールを完全にスキップし、ソーシャルメディアチャネルを利用してフィッシング攻撃を仕掛けることができます。攻撃者は、ウェブブラウザを起動して Box、Dropbox、Google Drive などの外部ストレージサービスに移動するリンクを含むソーシャルメディアメッセージを送信します。このシナリオでは、パスワードで保護された悪質なファイルが自動的にエンドポイントにダウンロードされます。ユーザーはファイルをクリックし、パスワードを入力します。攻撃は上記と同じですが、メールが必要ない点が異なります。攻撃はすべてアプリと Web ブラウザ内、または Web ブラウザ内で発生します。

パスワードで保護されたファイルが攻撃に使用されている例は多数あります。その例をいくつかご紹介します。

• ザの 北朝鮮ラザログループ は、攻撃者がこれらの手法を利用する例です。このグループはロシアの組織を追跡しているときに、ZIP ファイルに隠された悪意のある Office 文書を配信しました。標的となった個人が ZIP ファイルをクリックすると、ユーザーは正規の Word 文書と思われるものを開いてしまうのです。その文書がマクロを起動すると、標的のコンピューターへの感染が始まります。US-CERTによると、トロイの木馬はその後、デバイス構成データにアクセスし、ファイルをダウンロードし、コマンドを実行し、システムレジスタを変更し、モニターに表示されている内容を画面キャプチャし、その他の方法でデータを漏洩します。
• 中国の国家脅威アクター、アース・プレタ 最近始めました 攻撃キャンペーン 悪意のあるリンクを含むスピアフィッシングメールが送信されました。リンクは、パスワードで保護された悪意のあるファイルを含むクラウドストレージプロバイダーにアクセスしました。クリックすると、マルウェアが Web ブラウザからエンドポイントにダウンロードされます。マルウェアは完了すると、攻撃者にバックドアアクセス、指揮統制、およびデータ漏洩機能を提供します。
• Qbot ボットネット 持っている プッシュ型マルウェアペイロード パスワードで保護された ZIP ファイルが添付されたフィッシングメールを介して。標的デバイス上のこれらのファイルには、悪意のある MSI Windows インストーラーパッケージまたは悪意のあるマクロを含む MS Office ドキュメントが含まれています。

この手法が脅威アクターの間で人気を維持している理由

HPウルフによると現在、すべてのマルウェアの 42% がZIPやRARなどのアーカイブファイルとして配信されています。HP Wolfの2022年第3四半期分析レポートによると、「アーカイブは暗号化が容易で、ウェブプロキシ、サンドボックス、メールスキャナーがマルウェアを検出するのが難しいため、脅威アクターにとって魅力的です。

パスワードで保護された悪意のあるファイルを利用するサイバー攻撃は、次のように分類されます。 高回避型適応型脅威 (HEAT)。前に説明したように、HEAT 攻撃は、リモートワークやハイブリッドワークの増加、クラウドへの移行、サービスとしてのソフトウェア (SaaS) アプリケーションの採用の加速に伴って発生しました。パスワードで保護された悪意のあるファイルなどの HEAT 攻撃は、パスワードで保護された悪質なファイルなど、現在では検出ベースのセキュリティツールをうまく回避できる手法を利用しています。

さらに、HEAT攻撃は、ナレッジワーカーの頼りになる生産性向上ソフトウェアであるWebブラウザーを標的にしています。パスワードで保護された悪意のあるファイルにより、攻撃者は最も一般的に導入されているセキュリティ防御を回避できるため、攻撃者は悪用的なペイロードを正常に配信して実行できます。

パスワードで保護された悪質なファイルを悪用する攻撃を防ぐ方法

パスワードで保護されたファイル内に悪意のあるペイロードを隠す攻撃など、HEAT攻撃をうまく阻止できる組織は、Webブラウザーのアクティビティを可視化し、動的なポリシーを適用してゼロアワー攻撃を防止する予防的セキュリティテクノロジーを活用する組織です。

これが、このようなHEAT攻撃をリアルタイムで特定して防止する唯一の方法です。なぜなら、こうした回避型の脅威に関しては、現在のシグネチャベースのテクノロジーで知られ認識されている前世代の攻撃（電子メールのみを標的とする攻撃など）に対する防御だけでは不十分だからです。