MalDoc in PDFとは セキュリティ検知回避ねらったファイルに注意
MalDoc in PDFとは、JPCERT コーディネーションセンター(JPCERT/CC)によると、検知回避を狙ってWordファイルで作成した悪意のあるマクロをPDFファイルへ埋め込む手法を指します。PDF分析ツールでは発見できない可能性が高いのですが、Wordで開くと悪意のあるマクロが実行されてしまう可能性があるので、注意を呼び掛けています。
MalDoc in PDFとは
JPCERT/CCの公式ブログによると、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック「MalDoc in PDF」を使ったサイバー攻撃が2023年7月に観測されました。
MalDoc in PDFはPDFファイルのオブジェクトにWordで作成された悪意のあるMacroつきmhtファイルを埋め込みます。ファイルの拡張子は.docのため、Wordを自動で関連付けしていると、ダブルクリックするだけでWordが起動し、悪意のあるマクロが実行されてしまうおそれがあります。
MalDoc in PDFへの対策
MalDoc in PDFは、「Pdfid」などのPDF分析ツールやウイルス対策ソフトなどもPDFファイルとして判定されることから検知されない可能性があるため、「マルウェア分析をツールやSandboxなどによって自動化している場合、悪性判定結果に注意が必要です」と注意を呼び掛けています。
その一方で、Wordファイルの分析ツール「olevba」が有効で、攻撃コード部分を正常に検出できるといいます。
