チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は5月1日、PDFの武器化によるサイバー攻撃への注意喚起を発表した。
チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)の調査によると、サイバー攻撃の68%がメール経由で配信され、悪意あるメール添付ファイルの22%をPDFが占めている。脅威アクターはセキュリティ対策の仕組みを熟知し、高度な検出回避策を駆使することで、従来のセキュリティベンダーでは検知されずVirusTotalでの検出数が過去一年間でゼロといった攻撃も観測されているという。
CPRでは、PDFがサイバー犯罪者に選ばれる理由として、PDFの仕様書(ISO 32000)が1,000ページ近くに及ぶ複雑な構造を持っているため、セキュリティ検出をすり抜ける手法が多く生み出されているとしている。また、昨年は世界で4,000億を超えるPDFが開封され、企業の87%がビジネスコミュニケーションの標準形式としてPDFを活用しているということからも、サイバー犯罪者にとって格好の攻撃手段となっている。
CPRが最も頻繁に観測しているPDF攻撃キャンペーンの手法は、PDFに埋め込まれたリンクを利用した攻撃で、これらのフィッシングサイトや悪意あるファイルのダウンロードへ誘導するリンクには、多くの場合Amazon、DocuSign、Acrobat Readerなど信頼されたブランドを模倣した画像や短い文章が添えられ、一見無害に見せかける手法が用いられている。
攻撃者はリンク、テキスト、画像のすべての要素を自由に操作できるため、レピュテーションベースや静的シグネチャを用いたセキュリティツールでの検出が困難で、リンクのクリックが必要となる点が、サンドボックスや自動検出システムで対応しづらい要因となり、攻撃者に有利に働いている。
CPRでは、脅威アクターが用いる検出回避の手法として下記を紹介している。
・URLに関する回避手法
無害なリダイレクトサービスの利用:真のリンク先を隠すためにBing、LinkedIn、GoogleのAMP URLなどの有名なリダイレクトサービスを使用
QRコード:PDFにQRコードを埋め込み、ユーザーにスマートフォンでの読み取りを促す
電話詐欺:ソーシャルエンジニアリングによって特定の電話番号に電話をかけるよう仕向ける
・静的解析を回避する手法
PDFの複雑な構造を利用し、セキュリティツールの静的解析を回避
・ファイルの難読化
暗号化、フィルター、間接オブジェクトなどを使用してPDFファイルを難読化
・機械学習を配した検出を回避
テキストを画像に埋め込む手法など、セキュリティシステムがOCR(光学的文字認識)処理を強いられることで速度と精度が落ちる
