重大度が最高にクリティカルである脆弱性CVE-2017-8759。ハッカーによるサイバー攻撃でエクイファックス社より１億4,000万人分以上の個人情報が流出。 また、カナダ歳出庁からもAPT攻撃でデータが流出しました。弊社では既に詳細な調査を行い、サイバーリーズンのお客様に関しては、脆弱性CVE-2017-8759を利用するマルウェアから保護されていることを確認しました。

脆弱性CVE-2017-8759は、Cybereasonプラットフォームにおける、”マルウェアの行動による検知”の良い例です。Cybereasonプラットフォームは、企業ネットワークの脆弱性を突いて実行される悪意のあるペイロードを検知します。言い換えれば、脆弱性の利用（ヒープスプレー/バッファオーバーフロー手法など）そのものを捕捉する必要はありません。サイバー攻撃のステップとして重要なのは、侵入されたマシン上でマルウェアをダウンロードまたは実行することであり、そこをCybereasonプラットフォームは確実に検知します。

脆弱性CVE-2017-8759を利用する攻撃者は、ドキュメントパーシング（文書の構文解析）の脆弱性を利用することで、MS Wordのドキュメントパーサーを操作して悪意のあるコードを実行させる特別仕様の.docを作成します。　この攻撃手法は、Finspyマルウェアを配信するケースで特によく発見されています。

脆弱性CVE-2017-8759を利用した攻撃は、 Microsoft Wordプロセス（winword.exe）の制御権を取得すると、続いて mshta.exeを起動して、一次マルウェア実行ファイルを悪意のあるウェブサイトからダウンロードします。 一部のケースでは、mshta.exeではなく、VBScript や PowerShellを使用して一次マルウェア実行ファイルをダウンロードし実行することもあります。 Cybereasonプラットフォームは、多くの実行パターンのうち、悪意のあるウェブサイトへの接続や実行可能コードのダウンロードを行うタイプの実行パターン（Microsoft Wordによる独立したmshta、VBScript、PowerShellインタプリタの起動）を捕捉します。

マルウェアの作成者がファイルレス型のマルウェアパラダイムへと移行するにつれ、多くの犯罪者達が、mshta.exeが Windows OSにバンドルされていることに気がつきました。昨年来 mshta.exeを利用したマルウェアが急増しています。mshta.exeを利用することで、攻撃者は攻撃者により制御されるコード（VBScript、JScript、Javascript）を被害者に配信できるようになるほか、起動に関するレジストリからマルウェアを引き出し、自分のマルウェアがリブート後にも生き残るようにすることが可能となります。このようなマルウェアを検知するためは、攻撃者により制御されるコードを被害者のマシン上で実行するための mstha.exeの悪意ある呼び出しを正しく探知する必要があります。Cybereasonプラットフォームはmshta.exeの不審な行動を検知すると、素早くMalops™としてアラートを上げます。　

但し、mshta.exe自体は悪意のあるプログラムではありません。Windowsの構成要素をはじめとして多くのソフトウェアがmshta.exeを合法的に利用しており、AmazonやHPのソフトウェア（Amazonツールバーおよび標準HPプリンタユーティリティ）も mshta.exeを利用しています。

mshta.exeの合法的な利用例はあまりにも多すぎて、そのすべてをここに記載することは不可能です。皆さんがお使いの環境でmshta.exeの利用を検索するだけで、多くの利用結果（そのうち99%は合法的な利用）が得られること、そしてそれらを簡単にソートできることがお分かり頂けると思います。

弊社ではお客様のハンティングサービスのご利用時に、特定の環境における mshta.exeのすべての利用履歴をソートすることで、プログラムの利用目的が無害であることをチェックしています。もしmshta.exe の悪意ある利用が存在する場合、この特権を持つMicrosoftプロセスの利用を徹底的に調査して検証します。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/