Microsoft Officeとその脆弱性

Kaspersky Security Analyst Summit（SAS）2019での講演は、高度なAPT攻撃に関するものばかりではありませんでした。いくつかは、Kaspersky Labのアンチマルウェアリサーチャーが日々こなしている仕事に関連する内容です。当社のエキスパートであるボリス・ラーリン（Boris Larin）、ヴラド・ストリャロフ（Vlad Stolyarov）、アレクサンダー・リスキン（Alexander Liskin）は、『Catching multilayered zero-day attacks on Microsoft Office（Microsoft Officeに対する多層的ゼロデイ攻撃を捕捉する）』と題する調査を発表しました。この調査は主にマルウェア分析に役立つツールに焦点を当てたものでしたが、現在のMicrosoft Officeを取り巻く脅威の背景についても注目すべき説明がありました。

脅威の状況は、この2年間だけでも目立って変化しています。当社のエキスパートは、攻撃を受けた利用者を標的となったプラットフォームごとに分け、2016年の第4四半期と2018年第4四半期期とで比較しました。ここから、犯罪者の関心がWebベースの脆弱性からMicrosoft Officeの脆弱性に移っていることが分かったのですが、変化の程度はリサーチャーにとっても驚きでした。2018年第4四半期期には、Microsoft Officeを経由した攻撃の割合は70%を超え、最もよく狙われるプラットフォームとなっています。

昨年から、Microsoft Officeのゼロデイエクスプロイトが大量に現れるようになりました。標的型攻撃から始まったものが、やがて広く知られるようになり、最終的に悪意あるドキュメントビルダーに組み込まれるのが一般的です。ただし、その一連の流れは、かなり短期間で行われるようになってきています。たとえば、当社のエキスパートが認識した数式エディターの最初の脆弱性であるCVE-2017-11882の場合、概念実証コードの公開と同じ日に、大規模なスパム攻撃が始まっています。他の脆弱性についても同様で、脆弱性に関する技術レポートが公開されてから、その脆弱性に対するエクスプロイトが闇市場に現れるまでの期間は数日程度です。バグ自体が以前ほど複雑ではなくなっており、詳細なレポートさえあればサイバー犯罪者は有効なエクスプロイトを作成できる、という場合もあります。

2018年に最も悪用された脆弱性に目を向けると、マルウェアの作成者がシンプルでロジカルなバグを好むことは明らかです。Microsoft Officeのバグのうち現在最も悪用されているのが、数式エディターの脆弱性であるCVE-2017-11882とCVE-2018-0802であるのは、まさにそれが理由です。これら脆弱性は、効果が期待できる上に過去17年間にリリースされたWordの全バージョンで機能しますし、何と言っても、エクスプロイトを作成するのに高度なスキルは必要ありません。数式エディターのバイナリには、2018年のアプリケーションであれば当然備えているべき最新型の保護機能や回避機能が備わっていないのです。

ついでながら、興味深い話があります。最も悪用されている脆弱性の中に、Microsoft Office自体の脆弱性はありません。むしろ、関連するコンポーネントの脆弱性ばかりなのです。

なぜ、このようなことが何度も起きるのでしょうか。

Microsoft Officeは、考慮すべきファイル形式が複雑で多数にわたり、Windowsとの統合性と相互運用性についても検討の必要があるため、攻撃可能なポイント（いわゆるアタックサーフェス）が非常に大きいのです。また、セキュリティの観点から見て最も重大なのは、MicrosoftがOfficeを生み出したときに下した決定の中には、今となっては得策ではないと思えるものが多々ありながら、それを変更してしまうと下位互換性が打撃を受けかねないという点です。

2018年だけでも、当社は実環境で悪用されているゼロデイ脆弱性を複数検知しました。そのうちの1つが、リモートでコードが実行されるというWindows VBScriptエンジンの脆弱性CVE-2018-8174（英語記事）です。この脆弱性で特に興味深いのは、エクスプロイトが検知されたのはWord文書内であるのに、実際に脆弱性が存在するのはInternet Explorer内であるところです。詳しくはSecurelistの記事（英語）をご覧ください。

Kaspersky Labが脆弱性を検知する方法

Kaspersky Labのエンドポイント向けセキュリティ製品は、非常に高度なヒューリスティック機能を備え、Microsoft Officeドキュメントを通じて拡散される脅威を検知し、最初の検知レイヤーとして機能します。ヒューリスティックエンジンは、防御の最前線として、あらゆるファイル形式とドキュメントの難読化を認識します。しかし、悪意あるオブジェクトを検知した場合、危険だと判断して終わるのではなく、そのオブジェクトは別のセキュリティレイヤーへと渡されます。中でも有効なテクノロジーの1つは、サンドボックスです。

情報セキュリティの分野において、サンドボックスは、危険な環境を安全な環境から分離する（またはその逆）、脆弱性の悪用から保護する、そして悪意あるコードを分析する目的で使用されます。当社のサンドボックスは、完全版のOSを搭載する仮想マシンで疑わしいオブジェクトを実行し、そのふるまいを分析することでオブジェクトの悪意ある活動を検知する、マルウェア検知のシステムです。このシステムは当社インフラ内で使用するために数年前に開発され、後にKaspersky Anti Targeted Attack Platformの一部となりました。

Microsoft Officeは攻撃の対象になりやすく、その傾向は今後も変わらないでしょう。攻撃者はハードルの低い標的を求めており、レガシー化した機能がこれからも悪用されると考えられます。多数の脆弱性の検知に貢献したセキュリティ製品を、企業環境の保護にお役立ていただければ幸いです。