Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない

「保護ビュー」は、Office 2010以降から導入された機能で、閲覧専用に最低限に制限された環境で文書を開く機能です。「保護ビュー」では、「ActiveXコントロール」、「OLE」、「マクロ」、「リモートリソースのロード」等がすべて無効にされます。Office文書を使ったマルウェアは、これらのいずれかを使うものがほとんどなので、「保護ビュー」で閲覧することによりほとんどの攻撃を防ぐことができます。

「保護ビュー」は既定で有効になっており、メールの添付ファイルやブラウザでダウンロードしたOffice文書は通常は「保護ビュー」で開かれます(ただし、設定や環境によっては「保護ビュー」で開かれない場合もあります。これについては後述します)。

図3は実際にEmotetの不正なWord文書を開いた直後の様子です。このように黄色で「保護ビュー」で開いていることが表示されます。この時点でWordを終了すればマルウェアに感染することはありません。

図3 EmotetのWordファイルを開いた時の「保護ビュー」の表示。
「編集を有効にする」をクリックしてはいけない

 Emotetはマクロ機能を悪用して感染するマルウェアなので、もしここで「編集を有効にする」をクリックしてしまった場合でも、図1の「セキュリティの警告 マクロが無効にされました。」の警告が出ます。

 つまり、Emotetおよびその他のマクロ機能を悪用したマルウェアでは、もしファイルを開いてしまったとしても、感染を阻止する機会が2回あるということです。よって、「編集を有効にする」、「コンテンツの有効化」のボタンの意味を理解し、安易にクリックしないことが重要です。

 Officeでは、マイクロソフトが脆弱性の更新プログラムを公開する前に攻撃が発生する、ゼロデイ攻撃がしばしば観測されます。また、特に企業環境では、更新プログラムが公開されてから実際に適用されるまである程度のタイムラグが生じることがあります。

 そのような、更新プログラムが未適用な場合でも、「保護ビュー」で開いて「編集を有効にする」をクリックしなければ、ほとんどの攻撃は成功しません。

 図3のEmotetのWord文書にも「Click Enable Editing and Enable Content」と「編集を有効にする」と「コンテンツの有効化」をクリックさせようとする文面が書かれています。なぜこのような文面が書かれているかというと、Word文書を開いただけでは感染しないからです。

 図3の例は英語ですが、指示が日本語で書かれている場合もあります。このようになんとかして「編集を有効にする」と「コンテンツの有効化」をクリックさせようとするのは攻撃の常套手段ですので、これらの保護の有効性を理解して、絶対にクリックしないことが重要です。

関連キーワード

SHARE

関連記事

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題