テンプレート・インジェクションとは【用語集詳細】
テンプレート・インジェクション(Template Injection)はOfficeドキュメント(docx、xlsx、pptx)の外部テンプレート参照機能を利用し、悪意あるコードの隠蔽等を行う検知回避テクニックです。
docxやxlsx.、pptx等のOffice Open XML型式ファイル(OOXML)は、内部にXML言語ベースのファイルを埋め込み、共有リソースであるテンプレートを参照する機能を持っています。ユーザーによって開かれると同時に、ドキュメントはローカルあるいはインターネット上からテンプレートファイル(dotm等)を参照します。
攻撃者はOffice Open XML型式ファイルに含まれるテンプレートの参照URLを悪性URLに改ざんし、このURLから正当なテンプレートではなく悪意あるコードを取得し実行させるように細工します。あるいは、悪性URLにアクセスさせることで強制認証を行わせクレデンシャルを窃取します(強制認証)。
Officeドキュメント内部に悪性マクロを埋め込んだ場合と異なり、テンプレート・インジェクションではユーザーがファイルを開いてから悪性URLを通してペイロードの取得が行われるため、セキュリティ製品の検知をすり抜ける可能性があります。
テンプレート・インジェクションに用いられる悪性ドキュメントは通常フィッシングメールやスピアフィッシングメールでターゲットに配送されます。
