編集部
近年、サイバー攻撃者がExcelドキュメントの脆弱性を悪用し、Windowsユーザーを狙ったフィッシング攻撃が急増している。特に「.XLL」ファイルを通じてマルウェアを配信する手法が横行しており、Fortinetの調査によれば、攻撃者は注文ファイルを装うExcelファイルを利用し、被害者のシステムにリモートアクセス型トロイの木馬「Remcos RAT」を侵入させる。
この攻撃は複数の難読化技術を駆使して解析を回避しつつ、感染を長期間持続させる。Windowsユーザーはこの新たな手法に対する警戒が必要であり、企業でもセキュリティ対策を強化する必要が高まっている。
ハッカーが悪用する「.XLL」ファイルとその脅威の実態
マルウェア配信に用いられる「.XLL」ファイルは、従来のExcelマクロと異なる新たな攻撃手法として注目を集めている。MicrosoftはVBAマクロのデフォルトブロックを施したものの、「.XLL」ファイル形式はこの対策をかいくぐる手段として悪用されている。Excelで「.XLL」ファイルを開くと自動的にDLL(ダイナミックリンクライブラリ)が実行され、感染の起点となる。
この攻撃ではまず、フィッシングメールで送られる偽装した注文ファイルが使われ、ファイルを開いた瞬間、Excelから直接マルウェアがダウンロードされる仕組みだ。FortinetのFortiGuard Labsによれば、標的型攻撃で「Remcos RAT」が配布されている。これにより、ハッカーは感染PCのリモートコントロールや情報窃取を行う。
近年のフィッシング手法の高度化は、企業と個人の双方に深刻な影響を及ぼしている。
多段階の攻撃プロセスとその解析回避技術
「.XLL」ファイルの悪用による攻撃は、複数の段階を経て実行され、解析を回避する高度な手法が組み込まれている。最初の段階で、悪意あるExcelファイルはCVE-2017-0199の脆弱性を利用し、外部サイトから「HTA」(HTMLアプリケーション)ファイルをダウンロードする。このファイルはJavaScriptやPowerShellスクリプトで難読化され、解析を阻む層がいくつも重ねられている。
特に「Mshta.exe」を介して「dllhost.exe」が起動し、複数のファイルが展開される。感染が進むと「Vaccinerende.exe」として偽装され、バックグラウンドでプロセスが隠蔽される仕組みが実行される。高度なデバッグ回避技術やAPIの動的解決手法が組み込まれており、セキュリティソフトに検知されにくい。
これにより、長期間にわたり感染を持続させる狙いがある。企業にとっては、こうした多段階の攻撃がもたらすリスクに対し、より高度なセキュリティ対策が求められている。
Remcos RATの機能と企業・個人への潜在的影響
Remcos RAT(Remote Access Trojan)は、感染端末に遠隔操作機能を提供するマルウェアである。感染すると、キー入力の記録やスクリーンショットの取得、さらにはファイル操作が可能となり、企業機密や個人情報が外部に流出するリスクが生じる。
Fortinetの報告によれば、このマルウェアはC&Cサーバーとの通信に特定のプロトコルが使用され、感染後に不正アクセスを確立するよう設計されている。この脅威は、リモートワークの拡大とともに注目度が増しており、感染した端末が社内ネットワークを通じて他の端末へ拡散するリスクも否定できない。
企業や個人のデータ保護がますます重要視される中で、こうしたマルウェアへの対策として多層防御の導入や社員教育の強化が不可欠である。セキュリティ意識を高めることが今後のリスク軽減に寄与すると言えるだろう。