NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

 日本国内にて2019年10月以降、Emotetと呼ばれるマルウェアへの感染被害が相次いでいるとの注意喚起が、JPCERT/CCIPAなどにより出されています。

 Emotetは主にメールの添付ファイルやメールに記載されたURLのリンクからダウンロードした不正なWord文書により感染するマルウェアです(2019年12月時点の情報です。手口は変化しています)。Emotetに感染すると、メールアドレスやメール内容などの情報が盗まれ、インターネット上のC&Cサーバー(司令サーバー)に送信されます。Emotetはこの情報を元に、別のユーザーにマルウェアを含む不正メールを送信します。

 不正メールでは、件名や本文の引用に実際に自分が送信したメールが使われるため、これを受信したユーザーは、自分が送信したメールへの返信が来たと勘違いしてファイルを開いてしまいます。Emotetはこれを繰り返すことで感染を拡大していきます。

(Emotetでは、メールでの感染活動の他に、ファイル共有[SMB]を利用した感染活動や別のマルウェアをダウンロードしランサムウェアに感染させる活動なども観測されています。詳しくはJPCERT/CCなどによる注意喚起を参照してください)

 この様に巧妙な手口が使われるようになってくると、もはや「怪しいメールは開かない」ことに注意するだけではマルウェア感染を防ぐことはできなくなっています。

 しかし、幸いなことに、不正なOffice文書(Word、Excel、PowerPointなど)を用いた攻撃には、たとえ不正な文書ファイルを開いてしまったとしても、マルウェアへの感染をほぼ防ぐことができる対策があります。

 今回は、不正なOffice文書によりマルウェアに感染させる攻撃への対策について解説を行います。

もはや「怪しいメールは開かない」だけでは不十分

 マルウェアの攻撃キャンペーン(特定の手法による一連の攻撃活動)が行われると、不正なメールの件名や本文、差出人などの特徴が注意喚起として報じられます。しかし、これらは常に新しいものに変化していくため、いくら注意喚起の通りに注意していても、不正なメールだと気付かずにファイルを開いてしまうことは誰にでも起こり得ます。

 もちろん、不審なメールに注意して添付ファイルやリンクを開かないようにすることも重要ですが、それだけではなく、たとえ、添付ファイルやリンクを開いてしまったとしても感染しないようにする対策も同時に必要となっています。

 

Office文書を悪用したマルウェアへの対策

 Office文書を悪用したマルウェアへの対策は以下の4項目です。この4項目を守っていれば、たとえ不正なOffice文書を開いてしまったとしても、ほとんどの攻撃を防ぐことができます。

1.マクロを無効にする設定にし、「コンテンツの有効化」をクリックしない
2.「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない
3.セキュリティの警告が出た時に「はい」、「有効にする」などをクリックしない
4.OS及びOfficeソフトウェアの更新プログラムを適用して、最新に保つ

 

マクロを無効にする設定にし、「コンテンツの有効化」をクリックしない

 Office文書を悪用したマルウェアで現在の主流となっているのは、マクロ機能を利用して外部からマルウェアをダウンロード・実行し感染させる攻撃です。脆弱性を利用した攻撃は、更新プログラムがインストールされれば攻撃できなくなります。Officeでは既定で更新プログラムの自動更新が有効になっているため、脆弱性を利用した攻撃が成功する対象や期間は限られます。それに対し、マクロ機能はOfficeを最新版に更新していた場合でも利用可能なので、すべてのOfficeユーザーが対象になります。

 ただし、Officeの既定の設定ではマクロが自動実行されることはないため、Office文書を開いただけでマルウェアに感染することはありません。感染させるには利用者がマクロを有効化する操作が必要となります。

 Emotetの不正なWord文書も、マクロ機能を利用したものです。Emotetの不正なWord文書を実際にWordで開くと、 図1の様に黄色で「セキュリティの警告 マクロが無効にされました。」との警告が表示されます。この時点ではまだマクロは実行されていないため、もしファイルを開いてしまったとしても、Wordを終了すればマルウェアに感染することはありません。

 しかし、ここで「コンテンツの有効化」をクリックしてしまうと、マクロが実行されマルウェアに感染してしまいます。よって、絶対に「コンテンツの有効化」はクリックしないようにして下さい。

図1 EmotetのWordファイルを開いた時のマクロの警告。
「コンテンツの有効化」をクリックしてはいけない

 Officeの既定では「警告を表示してすべてのマクロを無効にする」設定となっていますが、設定が変更されていないかを念の為に確認しておいた方が良いでしょう。

 設定を確認するには、「ファイル」―>「オプション」―>「セキュリティセンター(トラストセンター)」―>「セキュリティセンターの設定(トラストセンターの設定)」―>「マクロの設定」とクリックし、「警告を表示してすべてのマクロを無効にする」がチェックされていることを確認して下さい。

 もし、マクロを一切使うことがないのならば「警告を表示せずにすべてのマクロを無効にする」をチェックしても良いでしょう。この場合は、「コンテンツの有効化」のボタンは表示されず、すべてのマクロが無効になります。なお、設定はWord、ExcelなどそれぞれのOfficeソフトで個別に設定する必要があります。

関連キーワード

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?