NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない

「保護ビュー」は、Office 2010以降から導入された機能で、閲覧専用に最低限に制限された環境で文書を開く機能です。「保護ビュー」では、「ActiveXコントロール」、「OLE」、「マクロ」、「リモートリソースのロード」等がすべて無効にされます。Office文書を使ったマルウェアは、これらのいずれかを使うものがほとんどなので、「保護ビュー」で閲覧することによりほとんどの攻撃を防ぐことができます。

「保護ビュー」は既定で有効になっており、メールの添付ファイルやブラウザでダウンロードしたOffice文書は通常は「保護ビュー」で開かれます(ただし、設定や環境によっては「保護ビュー」で開かれない場合もあります。これについては後述します)。

図3は実際にEmotetの不正なWord文書を開いた直後の様子です。このように黄色で「保護ビュー」で開いていることが表示されます。この時点でWordを終了すればマルウェアに感染することはありません。

図3 EmotetのWordファイルを開いた時の「保護ビュー」の表示。
「編集を有効にする」をクリックしてはいけない

 Emotetはマクロ機能を悪用して感染するマルウェアなので、もしここで「編集を有効にする」をクリックしてしまった場合でも、図1の「セキュリティの警告 マクロが無効にされました。」の警告が出ます。

 つまり、Emotetおよびその他のマクロ機能を悪用したマルウェアでは、もしファイルを開いてしまったとしても、感染を阻止する機会が2回あるということです。よって、「編集を有効にする」、「コンテンツの有効化」のボタンの意味を理解し、安易にクリックしないことが重要です。

 Officeでは、マイクロソフトが脆弱性の更新プログラムを公開する前に攻撃が発生する、ゼロデイ攻撃がしばしば観測されます。また、特に企業環境では、更新プログラムが公開されてから実際に適用されるまである程度のタイムラグが生じることがあります。

 そのような、更新プログラムが未適用な場合でも、「保護ビュー」で開いて「編集を有効にする」をクリックしなければ、ほとんどの攻撃は成功しません。

 図3のEmotetのWord文書にも「Click Enable Editing and Enable Content」と「編集を有効にする」と「コンテンツの有効化」をクリックさせようとする文面が書かれています。なぜこのような文面が書かれているかというと、Word文書を開いただけでは感染しないからです。

 図3の例は英語ですが、指示が日本語で書かれている場合もあります。このようになんとかして「編集を有効にする」と「コンテンツの有効化」をクリックさせようとするのは攻撃の常套手段ですので、これらの保護の有効性を理解して、絶対にクリックしないことが重要です。

関連キーワード

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?