NTTコミュニケーションズ

Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

 日本国内にて2019年10月以降、Emotetと呼ばれるマルウェアへの感染被害が相次いでいるとの注意喚起が、JPCERT/CCIPAなどにより出されています。

 Emotetは主にメールの添付ファイルやメールに記載されたURLのリンクからダウンロードした不正なWord文書により感染するマルウェアです(2019年12月時点の情報です。手口は変化しています)。Emotetに感染すると、メールアドレスやメール内容などの情報が盗まれ、インターネット上のC&Cサーバー(司令サーバー)に送信されます。Emotetはこの情報を元に、別のユーザーにマルウェアを含む不正メールを送信します。

 不正メールでは、件名や本文の引用に実際に自分が送信したメールが使われるため、これを受信したユーザーは、自分が送信したメールへの返信が来たと勘違いしてファイルを開いてしまいます。Emotetはこれを繰り返すことで感染を拡大していきます。

(Emotetでは、メールでの感染活動の他に、ファイル共有[SMB]を利用した感染活動や別のマルウェアをダウンロードしランサムウェアに感染させる活動なども観測されています。詳しくはJPCERT/CCなどによる注意喚起を参照してください)

 この様に巧妙な手口が使われるようになってくると、もはや「怪しいメールは開かない」ことに注意するだけではマルウェア感染を防ぐことはできなくなっています。

 しかし、幸いなことに、不正なOffice文書(Word、Excel、PowerPointなど)を用いた攻撃には、たとえ不正な文書ファイルを開いてしまったとしても、マルウェアへの感染をほぼ防ぐことができる対策があります。

 今回は、不正なOffice文書によりマルウェアに感染させる攻撃への対策について解説を行います。

もはや「怪しいメールは開かない」だけでは不十分

 マルウェアの攻撃キャンペーン(特定の手法による一連の攻撃活動)が行われると、不正なメールの件名や本文、差出人などの特徴が注意喚起として報じられます。しかし、これらは常に新しいものに変化していくため、いくら注意喚起の通りに注意していても、不正なメールだと気付かずにファイルを開いてしまうことは誰にでも起こり得ます。

 もちろん、不審なメールに注意して添付ファイルやリンクを開かないようにすることも重要ですが、それだけではなく、たとえ、添付ファイルやリンクを開いてしまったとしても感染しないようにする対策も同時に必要となっています。

 

Office文書を悪用したマルウェアへの対策

 Office文書を悪用したマルウェアへの対策は以下の4項目です。この4項目を守っていれば、たとえ不正なOffice文書を開いてしまったとしても、ほとんどの攻撃を防ぐことができます。

1.マクロを無効にする設定にし、「コンテンツの有効化」をクリックしない
2.「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない
3.セキュリティの警告が出た時に「はい」、「有効にする」などをクリックしない
4.OS及びOfficeソフトウェアの更新プログラムを適用して、最新に保つ

 

マクロを無効にする設定にし、「コンテンツの有効化」をクリックしない

 Office文書を悪用したマルウェアで現在の主流となっているのは、マクロ機能を利用して外部からマルウェアをダウンロード・実行し感染させる攻撃です。脆弱性を利用した攻撃は、更新プログラムがインストールされれば攻撃できなくなります。Officeでは既定で更新プログラムの自動更新が有効になっているため、脆弱性を利用した攻撃が成功する対象や期間は限られます。それに対し、マクロ機能はOfficeを最新版に更新していた場合でも利用可能なので、すべてのOfficeユーザーが対象になります。

 ただし、Officeの既定の設定ではマクロが自動実行されることはないため、Office文書を開いただけでマルウェアに感染することはありません。感染させるには利用者がマクロを有効化する操作が必要となります。

 Emotetの不正なWord文書も、マクロ機能を利用したものです。Emotetの不正なWord文書を実際にWordで開くと、 図1の様に黄色で「セキュリティの警告 マクロが無効にされました。」との警告が表示されます。この時点ではまだマクロは実行されていないため、もしファイルを開いてしまったとしても、Wordを終了すればマルウェアに感染することはありません。

 しかし、ここで「コンテンツの有効化」をクリックしてしまうと、マクロが実行されマルウェアに感染してしまいます。よって、絶対に「コンテンツの有効化」はクリックしないようにして下さい。

図1 EmotetのWordファイルを開いた時のマクロの警告。
「コンテンツの有効化」をクリックしてはいけない

 Officeの既定では「警告を表示してすべてのマクロを無効にする」設定となっていますが、設定が変更されていないかを念の為に確認しておいた方が良いでしょう。

 設定を確認するには、「ファイル」―>「オプション」―>「セキュリティセンター(トラストセンター)」―>「セキュリティセンターの設定(トラストセンターの設定)」―>「マクロの設定」とクリックし、「警告を表示してすべてのマクロを無効にする」がチェックされていることを確認して下さい。

 もし、マクロを一切使うことがないのならば「警告を表示せずにすべてのマクロを無効にする」をチェックしても良いでしょう。この場合は、「コンテンツの有効化」のボタンは表示されず、すべてのマクロが無効になります。なお、設定はWord、ExcelなどそれぞれのOfficeソフトで個別に設定する必要があります。

関連キーワード

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」