最近、セキュリティ研究者たちが注目している新しいサイバー攻撃の手法があります。その名も 「ブラウザ・キャッシュ・スモグリング」。この攻撃は、ブラウザのキャッシュ機能を悪用し、マルウェア（悪意あるプログラム）をあたかも「無害なファイル」のように見せかけて、パソコンに忍び込ませるという非常に巧妙なものです。

どうやって攻撃が行われるの？

1.    偽装されたファイルを仕込む
　•    攻撃者は、画像のように見せかけたマルウェア（DLLファイル）をWebページに埋め込みます。
　•     たとえば <img src="payload.dll"> のようにHTMLで書かれていても、ブラウザはそれを普通の画像と誤認して保存してしまいます。

2.    ブラウザが誤ってキャッシュ
　•    ブラウザは、Webの読み込みを早くするためにファイルを一時的に保存（キャッシュ）します。
　•     攻撃者はここを悪用して、本当は危険なファイルをキャッシュに保存させるのです。

3.    ユーザーの操作で感染
　•    ユーザーが特定のPowerShellコマンドを実行するよう誘導されることで、キャッシュにあったマルウェアがMicrosoft TeamsやOneDriveのフォルダにコピーされ、実行されてしまいます。

DLLプロキシングでばれにくくする

攻撃者は、正規のDLLファイル（Windowsが使う共通ライブラリ）を偽装して、「一見普通に動いているように見えるけど実は裏で悪さしている」という状態を作り出します。
たとえば、Teamsのフォルダに「VERSION.dll」という偽ファイルを入れておけば：
　•    正規の機能も動く
　•    でも裏でマルウェアも動く
というダブルの効果があります。だから気づきにくいのです。

なぜTeamsやOneDriveが狙われるの？
　•    管理者権限がなくても攻撃できる
　•    ネット接続が多く、不審な通信が目立ちにくい
　•    多くの企業が使っていて、効果が高い
という理由から、攻撃者にとって「おいしい標的」になってしまっているのです。

私たちができる対策
　•    知らないリンクやファイルは開かない
　•    ソフトウェアはこまめにアップデート
　•    信頼できるセキュリティソフトを導入
　•    PowerShellなどを安易に使わない


今後も新たな攻撃手法は次々と生まれます。技術的な仕組みを知らなくても、「怪しい操作はしない」「正規の更新を怠らない」ことが、自分のPCやデータを守る第一歩です。

記載者：片山　昌樹（セキュリティ＆マネージド事業部）