NTTコミュニケーションズ

Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」で開く設定にし、「編集を有効にする」をクリックしない

「保護ビュー」は、Office 2010以降から導入された機能で、閲覧専用に最低限に制限された環境で文書を開く機能です。「保護ビュー」では、「ActiveXコントロール」、「OLE」、「マクロ」、「リモートリソースのロード」等がすべて無効にされます。Office文書を使ったマルウェアは、これらのいずれかを使うものがほとんどなので、「保護ビュー」で閲覧することによりほとんどの攻撃を防ぐことができます。

「保護ビュー」は既定で有効になっており、メールの添付ファイルやブラウザでダウンロードしたOffice文書は通常は「保護ビュー」で開かれます(ただし、設定や環境によっては「保護ビュー」で開かれない場合もあります。これについては後述します)。

図3は実際にEmotetの不正なWord文書を開いた直後の様子です。このように黄色で「保護ビュー」で開いていることが表示されます。この時点でWordを終了すればマルウェアに感染することはありません。

図3 EmotetのWordファイルを開いた時の「保護ビュー」の表示。
「編集を有効にする」をクリックしてはいけない

 Emotetはマクロ機能を悪用して感染するマルウェアなので、もしここで「編集を有効にする」をクリックしてしまった場合でも、図1の「セキュリティの警告 マクロが無効にされました。」の警告が出ます。

 つまり、Emotetおよびその他のマクロ機能を悪用したマルウェアでは、もしファイルを開いてしまったとしても、感染を阻止する機会が2回あるということです。よって、「編集を有効にする」、「コンテンツの有効化」のボタンの意味を理解し、安易にクリックしないことが重要です。

 Officeでは、マイクロソフトが脆弱性の更新プログラムを公開する前に攻撃が発生する、ゼロデイ攻撃がしばしば観測されます。また、特に企業環境では、更新プログラムが公開されてから実際に適用されるまである程度のタイムラグが生じることがあります。

 そのような、更新プログラムが未適用な場合でも、「保護ビュー」で開いて「編集を有効にする」をクリックしなければ、ほとんどの攻撃は成功しません。

 図3のEmotetのWord文書にも「Click Enable Editing and Enable Content」と「編集を有効にする」と「コンテンツの有効化」をクリックさせようとする文面が書かれています。なぜこのような文面が書かれているかというと、Word文書を開いただけでは感染しないからです。

 図3の例は英語ですが、指示が日本語で書かれている場合もあります。このようになんとかして「編集を有効にする」と「コンテンツの有効化」をクリックさせようとするのは攻撃の常套手段ですので、これらの保護の有効性を理解して、絶対にクリックしないことが重要です。

関連キーワード

SHARE

関連記事

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?