Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

セキュリティの警告が出た時に「はい」、「有効にする」などをクリックしない

 Office文書を「保護ビュー」で開くことにより、不正なOffice文書を利用した攻撃のほとんどを防ぐことができます。

 しかし、特定の拡張子のファイルが「保護ビュー」で開かれないことを利用した攻撃手法も存在します。この場合でもファイルを開いただけでマルウェアに感染することはなく、セキュリティに関する警告が表示されます。ここで「はい」、「有効にする」などをクリックせず終了するか、「いいえ」、「無効にする」をクリックすればマルウェアに感染することはありません。

図4 拡張子iqyを使った攻撃。
「有効にする」をクリックしてはいけない

 もし、警告なしにファイルを開いただけでマルウェアに感染するような攻撃が出現した場合には、重大な脆弱性としてマイクロソフトから修正プログラムが提供されます。修正プログラムを適用してOfficeを最新にすることで、そのような攻撃を防ぐことができます。

 

OS及びOfficeソフトウェアの更新プログラムを適用して、最新に保つ

 Officeの脆弱性を利用した攻撃も行われています。たとえば2017年11月にマイクロソフトにより更新プログラムが公開されたOfficeの数式エディタに存在する脆弱性を利用した攻撃は、2年以上経った今でも数多く観測されています。

 これらの脆弱性を利用した攻撃の多くは「保護ビュー」で開くことにより防ぐことができます。もし、「保護ビュー」ではなく通常のモードで開いてしまった場合でも、更新プログラムが適用されていれば攻撃は成功しません。

 また、Office文書の中に、Flash Playerの脆弱性を攻撃するFlashオブジェクトを埋め込んだ攻撃なども存在します。よって、Officeだけでなく、OSやFlash Playerなどのアプリも更新プログラムを適用して、最新版に保つことも必要です。

 Officeの更新プログラムは、既定では自動的にダウンロードされインストールされる設定になっています。よって、特に操作をしなくても、公開後しばらく経てば最新版に更新されます。しかし、何らかの理由で自動更新が無効になっていたり、更新が失敗していたりする可能性もありますので、自動更新が有効になっているか、更新が行われ最新版になっているかを確認しておきましょう。

 Office 2013以降では、一部のボリュームライセンス製品を除いて、Officeの更新プログラムは「Windows Update」ではなく、Officeに組み込まれた自動更新機能により更新されます。

 自動更新が有効になっているかは、「ファイル」―>「アカウント」とクリックし、「更新プログラムは自動的にダウンロードされインストールされます。」と表示されることを確認します。

(企業などで管理者が更新プログラムのインストールを管理している場合には、「更新プログラムはシステム管理者が管理します。」などのメッセージが表示されます。)

図5 自動更新が有効になっているかを確認

 もし自動更新が有効になっていない場合は、「更新オプション」―>「更新を有効にする」とクリックすることで自動更新を有効にします。

 なお、Office 2007以前はすでにサポートは終了しています。また、Office 2010のサポートは2020年10月13日に終了する予定です。サポートが終了したあとは、更新プログラムが提供されなくなります。よって、Office 2007以前を利用している場合は早急にサポートされているバージョンへの移行を行って下さい。Office 2010を利用している場合は、2020年10月13日までにサポートされているバージョンへの移行を行うよう計画して下さい。

関連キーワード

SHARE

関連記事

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる