ハッカーが「Microsoft Office」の脆弱性を悪用して、マルウェアを拡散している。このマルウェアは、ログイン情報を盗んだり、追加のマルウェアを投下したり、分散型サービス妨害（DDoS）攻撃を行うという高度なものだ。マルウェアは2016年からアクティブで、高機能ながら地下フォーラムでは75ドル（約8300円）から購入できる。

FireEyeの研究者が、スパムメールを経由してマルウェア配信を試みる新しい攻撃キャンペーンを展開していることを確認した。このキャンペーンは、通信、保険、金融サービスなどの業界を狙ったもので、最近発見されたMicrosoft Officeの脆弱性を悪用している。

フィッシングメールはターゲットに関連がある内容で、悪意あるドキュメント（「.DOC」形式）が入ったZIPファイルを含み、ユーザーに開封を奨励する文言が並ぶ。ドキュメントファイルにアクセスすると、Officeの脆弱性によりPowerShellベースのペイロードが走り出し、感染してしまう。



フィッシングに使用されるドキュメントの例

提供：FireEye フィッシングに使用されるドキュメントの例提供：FireEye

ここで利用されている脆弱性の1つがCVE-2017-11882だ。2017年11月に開示された脆弱性で、悪意を持って改変したファイルが開かれると任意のコードを走らせることができる。今回のキャンペーンでは、この脆弱性は悪意ある添付ファイルに保存されているURLを使って追加のダウンロードをトリガーできる。ダウンロードには、マルウェアを投下するPowerShellスクリプトが含まれる。

また、Microsoft .NET Frameworkが信用されていないインプットを処理するときに、攻撃者が感染したシステムを乗っ取ることができるという脆弱性CVE-2017-8759も利用する。この場合、フィッシングメールに添付されているDOCファイルに組み込まれたOLEオブジェクトが含まれており、これが保存されたURLをトリガーしてPowerShellプロセスをスタートさせる。CVE-2017-8759は9月に開示され、すぐにパッチが発行されている。

マルウェアは攻撃者に、「Google Chrome」や「Internet Explorer」などのよく閲覧されるウェブブラウザや、FTPアプリケーション、電子メールアカウントからパスワードを盗む機能を提供する。

Microsoft Officeを利用するユーザーは、CVE-2017-11882とCVE-2017-8759の両方の脆弱性に対するパッチを適用しているかどうかを確認しておきたい。