NTTコミュニケーションズ

Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない

「保護ビュー」は、Office 2010以降から導入された機能で、閲覧専用に最低限に制限された環境で文書を開く機能です。「保護ビュー」では、「ActiveXコントロール」、「OLE」、「マクロ」、「リモートリソースのロード」等がすべて無効にされます。Office文書を使ったマルウェアは、これらのいずれかを使うものがほとんどなので、「保護ビュー」で閲覧することによりほとんどの攻撃を防ぐことができます。

「保護ビュー」は既定で有効になっており、メールの添付ファイルやブラウザでダウンロードしたOffice文書は通常は「保護ビュー」で開かれます(ただし、設定や環境によっては「保護ビュー」で開かれない場合もあります。これについては後述します)。

図3は実際にEmotetの不正なWord文書を開いた直後の様子です。このように黄色で「保護ビュー」で開いていることが表示されます。この時点でWordを終了すればマルウェアに感染することはありません。

図3 EmotetのWordファイルを開いた時の「保護ビュー」の表示。
「編集を有効にする」をクリックしてはいけない

 Emotetはマクロ機能を悪用して感染するマルウェアなので、もしここで「編集を有効にする」をクリックしてしまった場合でも、図1の「セキュリティの警告 マクロが無効にされました。」の警告が出ます。

 つまり、Emotetおよびその他のマクロ機能を悪用したマルウェアでは、もしファイルを開いてしまったとしても、感染を阻止する機会が2回あるということです。よって、「編集を有効にする」、「コンテンツの有効化」のボタンの意味を理解し、安易にクリックしないことが重要です。

 Officeでは、マイクロソフトが脆弱性の更新プログラムを公開する前に攻撃が発生する、ゼロデイ攻撃がしばしば観測されます。また、特に企業環境では、更新プログラムが公開されてから実際に適用されるまである程度のタイムラグが生じることがあります。

 そのような、更新プログラムが未適用な場合でも、「保護ビュー」で開いて「編集を有効にする」をクリックしなければ、ほとんどの攻撃は成功しません。

 図3のEmotetのWord文書にも「Click Enable Editing and Enable Content」と「編集を有効にする」と「コンテンツの有効化」をクリックさせようとする文面が書かれています。なぜこのような文面が書かれているかというと、Word文書を開いただけでは感染しないからです。

 図3の例は英語ですが、指示が日本語で書かれている場合もあります。このようになんとかして「編集を有効にする」と「コンテンツの有効化」をクリックさせようとするのは攻撃の常套手段ですので、これらの保護の有効性を理解して、絶対にクリックしないことが重要です。

関連キーワード

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」