メインコンテンツにスキップする

HTML添付ファイル:マルウェアの侵入経路か

悪意のあるHTML添付ファイルを含むメールの画像

直近3年間に、マルウェアやその他の種別の悪意のあるコードを仕掛けるために最も使用された手口の1つは、簡素なメールの添付ファイルでした。具体的には、ハイパーテキストマークアップ言語(HTML)でコード化された添付ファイルが、リモートアクセス型トロイの木馬(RAT)を介したなりすまし犯罪、ランサムウェア攻撃、フィッシング詐欺などのさまざまな(そして、ますます高度化する)サイバー犯罪を行うための方法として、ますます普及しています。心配な点は、これが孤立したインシデントでも、1つの脅威エージェントからの一点集中型の攻撃のようなものでもないということです。2023年の時点で、悪意のあるHTML添付ファイルを世界中の多くの個人ハッカーが好んで採用するようになったと見られます。

この手法は、悪意のあるペイロードがHTML添付ファイル自体に含まれている巧妙なケースでは「HTMLスマグリング」と呼ばれることもあります。(以前から認知されており、長年にわたりさまざまなサイバー犯罪者によって使用されてきた手法ですが、)この手法が注目を集めるようになったのは、有名なサイバー犯罪者であるNOBELIUMによるスピアフィッシングキャンペーンがきっかけでした。近年では、この手法は、Mekotio(悪名高いバンキング型トロイ)、Trickbot、AsyncRAT/NJRATなどのさまざまな注目度の高いマルウェアの拡散に使用されています。この種別のサイバー犯罪が増加しており、米国内の3軒に1軒の家庭が何らかのマルウェアに感染していることを考えると、悪意のあるHTML添付ファイル(およびHTMLスマグリング)の攻撃の仕組みとその攻撃から身を守る方法を理解しておくことが重要です。そこで私たちは、皆さんがメールにアクセスしたい場合に常に安心してアクセスできるように、この記事にHTML添付ファイルとHTMLスマグリングに関するガイドをまとめました。

悪意のあるHTML添付ファイルとは

悪意のあるHTML添付ファイルは、通常、添付ファイルの形式でメールに含まれているマルウェアの一種です。このマルウェアは、主に、感染したHTML添付ファイルをユーザーがクリックすると発動します。ユーザーが添付ファイルを開くと、外部でホストされているJavaScriptライブラリを介して、ハッカーのフィッシングWebサイト(またはログインページなどの攻撃者が管理している別の形態の悪意のあるコンテンツ)にリダイレクトされます。この種別のHTMLフィッシング詐欺では、よく知られている形態として、Microsoftのポップアップウィンドウのようなものが表示されることが多いです。このウィンドウで、ハッカーのメールで受け取ったHTML添付ファイルをダウンロードするための情報として、何らかの個人の資格情報/ログイン情報をユーザーに対して要求します。この情報が入力されると、ユーザーの詳細情報がハッカーに送信されて、その情報を使用して金銭の窃取、なりすまし犯罪、ランサムウェアを介した恐喝などのさらなる犯罪が行われます。

HTMLスマグリングとは

HTML添付ファイルによるマルウェア攻撃のより技術的な形態として知られるHTMLスマグリングは、HTML 5とJavaScriptを使用することで、HTML添付ファイル自体に埋め込まれた独自設計のスクリプトを介して、サイバー犯罪者が悪意のあるコードを標的のコンピューターに「スマグリング(密輸)」することができる手法です。この攻撃の標的となった人がWebブラウザーで悪意のあるHTML添付ファイルを開くと、埋め込まれたスクリプトがブラウザーでデコードされて、標的のコンピューティングデバイス上でペイロードが構築されます。これにより、ハッカーは標的のファイアウォールの内側でローカルにマルウェアを構築することができます。

この種別の攻撃は、HTMLとJavaScriptの両方が、(ビジネスと個人使用のいずれでも)信頼できる日常的なコンピューターの処理において、最も一般的で重要な部分をいくつか担っているという事実を利用しています結果的に、この手法によって、トラフィックベースのシグネチャまたは.EXE、.ZIP、.DOCXなどの慣例的に疑わしい種別の添付ファイルのみをチェックする標準的なセキュリティ管理ソフトウェア(Webプロキシやメールゲートウェイなど)を回避することができます。標的のマシンでブラウザーを介してファイルが読み込まれた後で悪意のあるファイルが作成されるため、標準的なセキュリティ製品では無害なHTMLとJavaScriptのトラフィックしか登録されません。さらに、ハッカーが「難読化」などのより高度なサイバー犯罪の手法を使用することで、より高度なセキュリティソフトウェアで検知されないように悪意のあるスクリプトを巧みに隠蔽することができます。

HTMLスマグリングは、アンカータグの「download」属性を利用して、JavaScript Blobを使用して標的のデバイスでペイロードを構築することで機能します。「download」属性がクリックされると、HTMLファイルは「href」タグで参照されている悪意のあるファイルを自動的にダウンロードできるようになります。JavaScriptを使用することで、似たようなプロセスが実行されます。JavaScript Blobで、悪意のあるファイルのエンコードされたデータが保存されます。このデータは、URLを要求するJavaScript APIに渡されるとデコードされます。つまり、悪意のあるファイルは自動的にダウンロードされて、JavaScriptコードを使用して標的のデバイスでローカルに構築されます。

その他の種別の悪意のあるメール添付ファイル

マルウェアをユーザーのシステムにスマグリングする添付ファイルの種類として、HTMLは最も使用される形式の1つですが、それ以外によく使用される、同様に危険性が高いファイルの種別にも気をつけることが重要です。

.EXEファイル

前述したように、Windowsオペレーティングシステムの.EXEファイル、つまり実行可能ファイルは、よく使われる(そしてよく知られている)脅威の経路であるため、注意する必要があります。(送信者が信頼できる場合でもそうでなくても)メールにこれらのファイルがあった場合、そのファイルをダウンロードして操作することは避けるべきでしょう。

.ISOファイル

ISOファイルは通常、コンピューターのディスクドライブ上のすべての内容のコピーを保存および交換する目的と、AppleやWindowsのなどのシステムを配布する目的で使用されます。Windowsが追加のソフトウェアなしでこれらのファイルをマウントできるようになったため、この種別のマルウェアとしての添付ファイルは、ここ数年でよく使われるようになりました。ただし、システム全体の提供を要求していない場合や、複数のオペレーティングシステムを実行するためにコンピューターをパーティション分割していない場合は、個人用または仕事用のメールアカウントでこれらのファイルを受け取っても、持っている必要はありません。そのため、ほとんどの場合は、このファイルはほぼ間違いなくマルウェアであるため、ダウンロードせず、受信トレイから削除してください。

Microsoft Officeファイル

Microsoft Officeファイル(.DOCX、.XLSX、.PPTXなど)は、世界中でビジネス用の標準的な形式として広く普及しているため、無防備な企業にさまざまな種別のマルウェアを感染させるのに理想的な手段となっています。これらは、対策が最も難しいファイルの1つでもあります。一般的に、緊急請求書や最終需要の形式で表示して、標的を騙してファイルを開かせようとします。

悪意のあるHTML添付ファイルから身を守る方法

幸運なことに、悪意のあるHTML添付ファイルがもたらす脅威を軽減し、その脅威から身を守るために講じることのできる手段は数多くあります。

メールスキャンと保護システム

悪意のあるメール添付ファイルや組み込みスクリプトに対する第一の防御は、専用のメールスキャンおよび保護システムです。しかしながら、前述したように、今日のサイバー犯罪者がもたらす進化し続ける脅威を抑えるには、標準的なセキュリティシステムでは不十分です。現在では、サイバーセキュリティの専門家は、機械学習と静的コード分析が含まれるアンチウイルス製品を推奨しています。これにより、添付ファイルだけでなく、メールの実際のコンテンツが評価されます。高度なオンラインのサイバーセキュリティ製品として、カスペルスキー プレミアムをお勧めします。ビジネスユーザーと個人ユーザー向けとして受賞歴のあるこのプレミアムパッケージには、リモートアシスタンスと24時間年中無休のサポートが用意されています。

厳格なアクセス管理

資格情報の侵害や漏えいが発生した場合でもサイバー犯罪者が実際に引き起こすことができる損害を減らすことができるよう、ユーザーのアクセスを必要な担当者のみに制限することが重要です。また、サイバーセキュリティ戦略にさらなる層を追加することで攻撃のリスクをさらに減らすために、重要なシステムにアクセスできるユーザーに対して、多要素認証(MFA、二要素認証、または2FAと呼ばれることもあります)を使用させるよう徹底すべきでしょう。さらに、従業員のアクセスエラー(特にリモートワークの場合)から重要な資産を保護するための重要な方法として、VPN(仮想プライベートネットワーク)を使用するとよいでしょう。カスペルスキーのVPNのユーザーは、暗号化されたデジタルトンネルを経由してリモートから会社のサーバーに接続することができます。このトンネルにより、世界中どの場所でも、公衆WiFiや保護されていないインターネット接続の潜在的な危険からシステムが保護されます。

サイバーセキュリティトレーニングとベストプラクティス

HTML添付ファイルの攻撃から貴重な資産を保護し続ける最も簡単な方法の1つは、スタッフ(または自分自身)に対して、サイバーセキュリティのベストプラクティスと不審なメール、ファイル、および添付ファイルを見抜く方法についてのトレーニングを実施することです。これには、パスワードやビジネスのログイン資格情報を同僚と共有しないこと、複数のソフトウェアやアカウントでパスワードを再利用しないこと(パスワードを暗号化し、必要な場合にそれぞれのパスワードを自動入力するパスワードマネージャーまたはパスワードボールトを使用することを推奨します)、常に強力なパスワードまたはパスフレーズ(特殊文字、数字、大文字、小文字を組み合わせた10~12桁の文字列)を使用することなどが含まれます。

HTML添付ファイルに関するよくある質問

HTML添付ファイルとは何ですか?

HTML添付ファイルとは、ハイパーテキストマークアップ言語でコード化された、メールに添付されたファイルのことです。ここ数年、悪意のあるHTML添付ファイル(埋め込みマルウェアやフィッシングWebサイトへのJavaScriptベースのリンクを含むファイル)は、メールのファイアウォールと保護システムを回避しようとするサイバー犯罪者にとって頻繁に使用される手口となりました。

HTMLファイルにウイルスが含まれる可能性はありますか?

はい、HTMLファイルには、フィッシング詐欺やランサムウェアを含む、ウイルスやその他の種別のマルウェアが含まれる可能性があります。この種別のサイバー攻撃は、悪意のあるHTML添付ファイルやHTMLスマグリングとして知られています。この攻撃では、偽のログインウィンドウへのJavaScriptリンクを使用したり、ユーザーの資格情報や個人的なファイルを悪用する埋め込みマルウェアを使用したりします。

HTMLファイルは危険なものですか?

はい、HTMLファイル(メールの添付ファイルを含む)はシステムにとって非常に危険である可能性があります。ここ数年で、悪意のあるHTML添付ファイルを使用して個人データを盗む巧妙なサイバー攻撃が増加していることをサイバーセキュリティの専門家が確認しています。この種別の攻撃は、HTMLスマグリングと呼ばれることも多いです。

HTMLスマグリングとは何ですか?

HTMLスマグリングとは、ハイパーテキストマークアップ言語(一般的にHTML 5)とJavaScriptを利用してユーザーのシステムにさまざまな形態のマルウェアを「スマグリング(密輸)」する、ますます普及しているサイバー攻撃の一形態です。これにより、従来のメール保護プロトコルを回避して、ハッカーは標的のファイアウォールの内側でローカルにマルウェアを構築することができます。

関連記事

推奨製品

HTML添付ファイル:マルウェアの侵入経路か

メール添付ファイルのセキュリティは益々重要になっています。この記事では、サイバー犯罪者がメール保護を回避してデータを盗む一般的な方法である悪意のあるHTML添付ファイルについて解説します。
Kaspersky logo