先週明らかにされた、米国の原発へのサイバー攻撃については、日本でもある程度報じられました。

www.afpbb.com

この攻撃の起点は、よくあるものと同様にフィッシングメールです。しかし、このメールに添付されたファイルは、全く無害なものだったという調査結果が、調査にあたったCISCOのTalosチームから出ています。

「重要インフラへの攻撃で活用されたテンプレート・インジェクション」

blog.talosintelligence.com

フィッシングメールに添付されていたのは、Word文書。ただ、この文書には攻撃コードは一切含まれていませんでした。しかし、この文書を開くと、攻撃を受けてしまうのです。

その仕組みは、上述の記事タイトルからも想像できる通り、テンプレートです。

Wordのテンプレートは、実はリモートマシンやリモートドライブにあっても動作します。そこで、攻撃者は、自分の管理下にあるサーバをSMBアクセス可能な状態において、そこに攻撃コードを含んだテンプレートを配置します。あとは、このテンプレートを呼び出すWord文書を送りつけるだけ、というわけです。

ちなみに、この攻撃手法は（記事の中ほどにあるように）Githubにホストされていたものと同じIDを使っていますが、同一のものが攻撃に使われたのかは不明です（この手の攻撃では自らの所属を偽るために既存の他のシグネチャを入れるのは定番手法ですから）。