お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Microsoft DDEをエクスプロイトして広がるLockyランサムウェア
• GoogleがDNS over TLSをテスト実装

それでは早速、参りましょう！

Microsoft DDEをエクスプロイトして広がるLockyランサムウェア

マイクロソフトOffice製品を使用したマルウェアの拡散方法として一般的なのはマクロウイルスだ。

しかし、最近マクロを実行せずに悪意のあるコードを実行し、Lockyランサムウェアを拡散されている。

拡散に使われている機能は、Microsoft Dynamic Data Exchange(DDE)だ。

DDEを簡単に説明すると、違うOffice製品同士のデータを呼び出す機能の事をいう。

例えば、Wordファイルの中で表を使用したい時に、別のエクセルファイルの表を呼び出す事が出来る機能だ。この機能を使えば、エクセルファイルの表を更新した際に自動でワードに呼び出された表も更新される。

DDEの本来の使い方としては、プロパティやカスタムフィールドと言い換えられる、任意の文字列を入力するフィールドである。そのフィールドにエクセルやワード等のプログラムを起動するコードを記入する。

DDEをエクスプロイトした機能は、単純にワード等のOffice製品を起動せず、コマンドプロントを起動して悪意のあるコードを実行する。

DDEを含むドキュメントを開くと、まず”他のファイルを参照している”メッセージを表示する。

次に、攻撃に使われているファイルを実行していた場合は、更にコマンドプロントを実行する許可を求めてくる。

DDEを普段から使っている人からすると、そのようなメッセージを注意深く読まずに実行を許可してしまう可能性が非常に高い。

その事から、DDEをエクスプロイトしてLockyランサムウェアに感染する被害が広がっているようだ。

マイクロソフトは、『DDEを悪用して攻撃を行われている事に間違いはないが、脆弱性ではない』と回答。

DDEはマクロよりも古く、意図した通りにポップアップメッセージを表示するからだ。

GoogleがDNS over TLSをテスト実装

Androidディベロッパー向けのニュースサイトXDAが公表したニュースによれば、GoogleはAndroidにDNS over TLS機能を試験的に利用可能となった事を明らかにした。

DNS over TLSは、IETF(Internet Engineering Task Force)によって試験運用が推奨されていたプロトコルで、DNSトラフィックをTLSで暗号化するプロトコルの事をいう。

いわば、HTTPトラフィックを暗号化したHTTPSのようなものだ。

DNS over TLSをする事によるメリットは、ユーザーのクエリとISPからアサインされるIPアドレスが紐付けられる事がなくなるという事だ。つまり個人名を割り出すことが難しくなる。

XDAによれば、Androidのディベロッパー達はアプリを開発する際に、DNS over TLSの機能をON/OFFスイッチで追加できることになっているという。

現段階では未だDNS over TLSがOSに実装されたのか、今後のアップデートで実装されるのかは不明だが、試験運用している事は前向きに検討しているという事だろう。XDAは、Android 8.1あたりでDNS over TLSが公式に実装されると予想している。