POWERPOINT

 前回の記事でMicrosoft Officeの脆弱性を悪用したウイルスが出回り、MS Wordファイルを開くとコンピュータがウイルスに感染するといったことを記載しましたが、今度はパワーポイントで同様のものが出回っており、十分に注意が必要です。
MSOFFICE

 この脆弱性はMicrosoft Officeのリモートコード実行の脆弱性(CVE-2017-0199)であり、Windows
Object Linking and Embedding(OLE)インターフェイスに存在していました。
 Microsoftではこの脆弱性を修正するために、今年4月に修正パッチをリリースしましたが、依然としてハッカーたちはこの脆弱性を悪用していろいろな方法を使用し、ユーザーの情報を得ようとしています。
MAIL

 この不正なパワーポイントのファイルはメールなどの添付ファイルとして各ユーザーにランダムに配信しています。
 配信されている送信元のメールアドレスは実在するものであり、そのメールの内容は事務的な注文の内容や商品発送状況など一見普通のメールのように見えます。しかし、メールの内容には送信元の名前や会社名が記されておらず、社内メールのような感じの簡単な文章となっているようです。
 そのメールには細工されたPowerPoint(PPSX)ファイルが添付されており、そのファイルを開くとウイルスに感染する仕組みとなっています。また、ファイルが圧縮されているものもあり、ファイルを解凍して実行すると感染するといったものも出回っているようです。


 感染されるまでの流れは次のようになっています。
 
 1.不正なメールのパワーポイントの添付ファイルをクリックします。すると、パワーポイント内にプログラムされたXMLファイルが呼び出され、リモート側から「logo.doc」ファイルが自動的にダウンロードされ、PowerPoint Showアニメーション機能で実行されます。
 2.アニメーションが実行されている間にリモート側からウイルス本体の「RATMAN.exe」というファイルがダウンロードされ、バックグラウンドで実行されます。この「RATMAN.exe」はトロイの木馬型のウイルスで、相手側からリモートコントロールが可能になります。この「RATMAN.exe」が実行されると、キーボード制御やスクリーン上の制御、ウェブカメラとマイクの制御を行うことができ、またユーザーがどのようなことを行っているか監視することもできます。

 このリモート制御を行うプログラムは正当なリモートアクセスのツールである「Remcos」を改造しており、用途に合ったカスタマイズを行っているようです。

Remcosは正当でカスタマイズ可能なリモートアクセスツールで、コマンドをダウンロードして実行する、キーロガー、スクリーンロガー、ウェブカメラとマイクの両方のレコーダーなど、世界中のどこからでもシステムを制御できます。

 
 Microsoftが4月にリリースした修正パッチ「CVE-2017-0199」はリッチテキストファイル(.RTF)文書を使用したエクスプロイトを使った攻撃を防止するためにリリースしております。しかしこのリリースはリッチテキストファイル(.RTF)に重点を置いているだけであり、その他の同様のMicrosoft Officeファイルを使用した攻撃にも対応となっています。
 今回の攻撃から完全に身を守るは、CVE-2017-0199の脆弱性に対処するMicrosoftが4月にリリースしたパッチをダウンロードして適用することが一番の方法となります。適用していないユーザーはこの修正パッチを必ず適用してください。