HTMLスマグリングの仕組み
Microsoftは11日(現地時間)、HTMLやJavaScriptの正規の機能を利用してマルウェアをひっそりと送り込む「HTMLスマグリング」攻撃が急増しているとして注意喚起を行なった。
HTMLスマグリングは、エンコードした悪意あるスクリプトをメールに添付したHTMLファイルやWebページ内に潜ませ、標的のデバイスに送り込む攻撃手法。標的となるユーザーがHTMLファイルやWebページへのリンクを開くと、Webブラウザがスクリプトをデコードし、Webサーバーからファイルをダウンロードして、ローカルでマルウェアを組み立ててしまう。
悪意ある実行ファイル自体はネットワークを直接通過せず、標的のデバイスに読み込まれた後、ファイアウォールの内側でHTML5やJavaScriptの正規の機能を使って組み立てられる。加えて、JavaScriptのコーディング方法が様々で、難読化の手法も複数あることから、Webプロキシや電子メールゲートウェイなどによる検知を回避しやすいという。
同社ではこの攻撃に対し、従来の境界型セキュリティだけでなく、エンドポイントセキュリティなどを組み合わせた多層防御が重要であるとしている。
手法自体は従来から存在するが、Microsoft Threat Intelligence Centerでは5月に同手法を用いたスピアフィッシングメールによるキャンペーンを確認。その後も、7月から8月にかけてリモートアクセス型トロイの木馬による攻撃、9月にはTrickbotによる攻撃キャンペーンでの利用を確認しているという。
コメント