HOME»情報処理安全確保支援士掲示板»攻撃手法「MalDoc in PDF」
投稿する
»[1193] 午後問題の進め方 投稿数:5
»[1192] 平成30年春午後I問3 のLAN分離について 投稿数:2
攻撃手法「MalDoc in PDF」 [1195]
GinSanaさん(No.1)
★SC ブロンズマイスター
※このスレッドは直接試験に関係はありません
来年辺りの試験の題材になってもおかしくないやり口ですね。さすがに今年は間に合わないだろうけども
pdfっていうとだいたい拡張子偽装のイメージが強いですが、こういうのがあると結構認識が変わるんじゃないですかね。
多くのセキュリティツールをすり抜ける新攻撃手法「MalDoc in PDF」 ~JPCERT/CCが警告
7月に発生したセキュリティ攻撃で実際に用いられる
樽井 秀人2023年8月23日 12:29
来年辺りの試験の題材になってもおかしくないやり口ですね。さすがに今年は間に合わないだろうけども
pdfっていうとだいたい拡張子偽装のイメージが強いですが、こういうのがあると結構認識が変わるんじゃないですかね。
多くのセキュリティツールをすり抜ける新攻撃手法「MalDoc in PDF」 ~JPCERT/CCが警告
7月に発生したセキュリティ攻撃で実際に用いられる
樽井 秀人2023年8月23日 12:29
「MalDoc in PDF」は、「Microsoft Word」で作成されたマクロ付きのMHTMLデータをPDFファイルへ埋め込む点が特徴。作成されたファイルはシステムから見るとPDFファイルだが、「Word」で開くこともできる。その場合、ファイルに埋め込まれた悪意あるVBSマクロが実行されてしまう可能性がある。
この攻撃で懸念されるのは、攻撃コードの部分が「Word」データとなっているため、「Pdfid」などのPDF分析ツールでは検出されないかもしれない(・・・)
実際、PDFビューワーで開いた場合には何も起こらないため、まったくの無害だ。しかし、JPCERT/CCが確認した攻撃ではファイル拡張子が「.doc」となっていたとのことで、ユーザーがそのままファイルをダブルクリックして「Word」で開いてしまうと攻撃が成立しうる。
この攻撃で懸念されるのは、攻撃コードの部分が「Word」データとなっているため、「Pdfid」などのPDF分析ツールでは検出されないかもしれない(・・・)
実際、PDFビューワーで開いた場合には何も起こらないため、まったくの無害だ。しかし、JPCERT/CCが確認した攻撃ではファイル拡張子が「.doc」となっていたとのことで、ユーザーがそのままファイルをダブルクリックして「Word」で開いてしまうと攻撃が成立しうる。
2023.08.23 17:31
その他のスレッド
»[1194] 就活のためにSCを取得するべく勉強するか 投稿数:6»[1193] 午後問題の進め方 投稿数:5
»[1192] 平成30年春午後I問3 のLAN分離について 投稿数:2