2017年10月頃から、中国、ロシアの攻撃グループが一斉に悪用し始めた攻撃手口が話題だ。Dynamic Data Exchange(DDE)と呼ばれるMicrosoft Officeの機能を悪用する。攻撃者はマクロやVBAなどを利用せずに、マルウエアのダウンロードや実行が可能となる。WordやExcelのほかに電子メールソフトのOutlookへも影響が及ぶため、攻撃パターンは多岐にわたる。

  DDEはWindows OS上でWordやExcelなどのアプリケーション間でデータを交換したり、コマンドを発行したりするためのプロセス間通信のメカニズムだ。その歴史は古く、1987年に発表されている。後継のOLE(Object Linking and Embedding)の登場以降利用する機会は減ったものの、現在でも利用可能な機能である。具体的には、Excelに埋め込まれたリンクをクリックするとPowerPointファイルを表示させる、などの動作を実現する。

DDEとアプリケーションの連携イメージ
[画像のクリックで拡大表示]

 この機能を使えば、Office以外のWindowsベースのプログラムでも、同様のリンクを作成できる。手元にPCがある読者は次の操作を試していただきたい。

  • ステップ1:Wordファイルで新規文書を作成する
  • ステップ2:[CTRL]+[F9]のキーを押し、「{ }」を表示させる
  • ステップ3:「{ }」の間に次の文字列をコピーし、ドキュメントを保存する
    DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

 ここまでできたら、保存した新規文書をダブルクリックする。他のファイルへのリンクが含まれている旨を知らせるポップアップが確認できれば成功だ。「はい」をクリックしていけば、電卓(calc.exe)が起動する。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら