MSHTA が、攻撃者に悪用されているLOLBIN(正規ツールの悪用)なので、見た目では不審さが出にくいLumma、Amatera、ClipBanker、PurpleFox などの配布に使われている最近のサイバー攻撃で、ちょっと皮肉なのがこの話です。
Windowsの“昔ながらの正規機能”が、マルウェア配布の便利な道具になっているんですね。SecurityWeekの記事は、Microsoftの MSHTA という古いユーティリティが、静かにマルウェアをばらまく攻撃で急増していると伝えています。
率直に言うと、これはかなり厄介です。
なぜなら MSHTA は「怪しい外部ツール」ではなく、Microsoftが署名した正規の機能だからです。セキュリティ製品から見ると、完全に即ブロックしづらい。攻撃者からすると、これほど都合のいい入口はありません。
MSHTA は Microsoft HTML Application の略で、HTAファイルを実行するための機能です。
HTAは、HTML、VBScript、JavaScript で書かれたアプリのようなものだと思ってください。昔からWindowsに入っているため、互換性を重視するMicrosoftの方針で、今のWindowsでも残っています。
ポイントはここです。
MSHTA は正規のWindows機能なので、悪用されると「見た目は普通の処理」に見えてしまうんです。SecurityWeekの元記事では、外部サーバー上のHTAを読み込ませて、メモリ上でVBScriptを動かすような使い方ができると説明されています。
つまり、ディスクに怪しいファイルを残さず、画面にも分かりにくく、裏で悪性コードを動かせるわけです。
個人的には、この「正規機能が静かに悪用される」パターンは、昔から本当に厄介だと思います。見えない分、発見が遅れがちだからです。
この記事では MSHTA は LOLBIN として使われていると書かれています。
LOLBIN は Living-off-the-Land binary の略で、OSに元から入っている正規ツールを悪用する手口のことです。
これがなぜ強いかというと、
という三拍子がそろっているからです。
Bitdefenderの調査によると、MSHTA を使った攻撃の多くは、まずソーシャルエンジニアリング、つまり「人をだます」ことから始まります。
ここがまた、実に現実的です。最新の脆弱性を突くというより、人の油断を突く。やっぱり攻撃者はそこを外しません。
元記事で挙げられていた誘導の例は、たとえばこんなものです。
正直、このへんは“古典的”なのに今も効くんですよね。
最新のAI攻撃ばかりに目が行きがちですが、「無料」「限定」「認証が必要」みたいな言葉で釣る手口は、いまだに非常に強いというのがよく分かります。
Bitdefenderが確認したケースでは、MSHTA はさまざまなマルウェアの配布に使われていました。
stealer は、パスワード、Cookie、暗号資産ウォレット情報などを盗むマルウェアです。
記事では CountLoader というHTAベースの仕組みが、Lumma と Amatera を配るのに使われていたとされています。
流れとしては、
MSHTA が攻撃者のC2サーバー(Command and Control、攻撃者の操作サーバー)に接続という感じです。
ここで面白いのは、一発で本体を落とすのではなく、何段階にも分けて“静かに”進むことです。
この設計は、検知されにくくするための工夫だと思います。
別のケースでは、Emmenhtal loader が Lumma などの配布に使われていました。
入り口はDiscordのフィッシングメッセージ。そこから、クリップボードを乗っ取るページへ誘導し、さらに偽の人間確認プロセスを装って、ユーザー自身にコマンドを実行させます。
記事にある流れは、かなり生々しいです。
Win + R を押して Run ダイアログを開かせるCtrl + V で貼り付けさせるEnter で実行させるすると、explorer.exe から MSHTA が自然に起動したように見えるわけです。
つまり、「ユーザーが自分でやったように見せる」のがミソです。これ、怖いですが賢いです。
その後はPowerShellスクリプトがリモートから落とされ、ディスクに保存されずメモリ上で実行されます。
この「メモリ上で実行」は、痕跡を減らすための典型的な手法ですね。
ClipBanker は、クリップボードを書き換えて暗号資産の送金先アドレスをすり替えるタイプのマルウェアです。
たとえば、あなたが自分のウォレットアドレスをコピーしたつもりでも、裏で攻撃者のアドレスに差し替えられる、という嫌なやつです。
記事では、MSHTA はこの感染チェーンの初期段階で使われ、遠隔のHTAを実行して、すぐに PowerShell ベースの永続化とペイロード配信へ移ると説明されています。
PurpleFox は、2018年頃から活動している、より高度で持続性の高いマルウェアです。
記事によると、長く使われている配布手法のひとつが、**MSHTA のコマンドラインから msiexec を起動し、.png に偽装した MSI パッケージをダウンロード・実行する**というもの。
ここもかなりいやらしいですね。
見た目が画像ファイルっぽいのに、実体はインストーラー。こういう「見た目の偽装」は、クリックしてしまえば最後という典型例です。
この記事で一番大事なのは、技術的な抜け道としての MSHTA そのものより、むしろ人をだます攻撃が依然として非常に有効だという点だと思います。
Bitdefenderの担当者は、最大の防御はユーザー教育だと述べています。
とくに、
これだけでかなりの攻撃は止められる、という主張です。
かなり強めの言い方ですが、私は「半分以上は本当にそうかもしれない」と思います。攻撃が高度でも、入口は意外と単純だからです。
ただし、教育だけでは足りないのも事実です。
元記事でも、対策は複数層で必要だとしています。
要するに、怪しいものを見つけたら止める、そもそも使えないようにする、動き出しても挙動で止めるの三段構えです。
BitdefenderのSilviu Stahie氏は、組織向けには古いbinaryを原則ブロックすべきだとコメントしています。
MSHTA がどうしても必要な重要アプリがないなら、ユーザーに使わせないのが基本という考え方です。
これはかなり現実的だと思います。
「昔からあるから残しておく」ではなく、本当に必要かを見直す。セキュリティでは、これが地味だけど効くんですよね。
このニュースは、単に「古いWindows機能が悪用されました」という話ではありません。
むしろ、
という、かなり本質的な問題を示しています。
個人的には、MSHTA のようなレガシー機能は「互換性のために残るのは理解できる。でも、悪用リスクが大きすぎるなら制限は強めるべきでは」と思います。
便利さと安全性のバランスは難しいですが、少なくとも企業環境では、使わないなら止めるがかなり有効そうです。
参考: Legacy Windows Tool MSHTA Fuels Surge in Silent Malware Attacks