NTTコミュニケーションズ

Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」にならない場合

 Officeにおいて「保護ビュー」は、不正なOfficeファイルを用いた攻撃に対する非常に強力な保護機能ですが、設定や環境によっては「保護ビュー」で開かれない場合もあります。

 添付ファイルのOffice文書が「保護ビュー」で開かれるようになっているかを確認するには、フリーメールなどから自分が普段使用しているメールアドレス宛にOffice文書ファイルを添付したメールを送信し、それをいつもの環境や手順で開くことで、「保護ビュー」で開かれることを確認すると良いでしょう。なお、テストはOfficeファイルをそのまま添付した場合と、OfficeファイルをZIPで圧縮して添付した場合の2種類を行って下さい。

 もし、「保護ビュー」で開かれない場合は以下のことを確認してみて下さい。

 

Officeの設定

 既定ではインターネットからダウンロードしたファイルは「保護ビュー」で開く設定になっていますが、何らかの理由で設定が無効になっている場合もあります。

「ファイル」―>「オプション」―>「セキュリティセンター(トラストセンター)」―>「セキュリティセンターの設定(トラストセンターの設定)」―>「保護ビュー」を確認して、「保護ビュー」が有効になっているかを確認して下さい。

図6 「保護ビュー」の設定

 

メールソフト

「Outlook」や「Thunderbird」などのメールソフトでは、添付ファイルのOffice文書をクリックして開くと「保護ビュー」で開かれるようになっています。しかし、メールソフトによっては「保護ビュー」で開かれない場合もあります。

「Outlook」はOfficeのすべてのエディションに含まれます。また、「Thunderbird」は無料でダウンロードして利用することができます。もし、自分の利用しているメールソフトで添付ファイルのOffice文書が「保護ビュー」で開かれない場合は、「Outlook」や「Thunderbird」への乗り換えを検討して下さい。

 また、ブラウザでアクセスする「Webメール」では、添付ファイルはブラウザからダウンロードして開く形になるため「保護ビュー」で開かれるようになっています。

 

圧縮・解凍ソフトによる「ZoneID」の削除

「保護ビュー」が有効にならない理由の多くが圧縮・解凍ソフトによる「ZoneID」の削除です。

 最初からローカルコンピューターに存在するファイルや、社内ファイルサーバーから取得したファイルが常に「保護ビュー」で開かれたり警告が表示されたりするのでは、非常に使い勝手が悪く、利用者が機能を無効にしてしまう可能性があります。

 そのため、Windowsのセキュリティ機能の多くはファイルがインターネットから取得されたものである場合のみ実行されるようになっています。このとき、ファイルがどこから取得されたかを表す識別子としてファイルに付加されるのが、「ZoneID」です。(Mark of the Web[MOTW]と呼ばれることもあります)

 ファイルに「ZoneID」が付加されているかを確認するには、エクスプローラーでファイルを右クリックし「プロパティ」を表示させます。一番下に「このファイルは他のコンピュータから取得したものです。このコンピュータを保護するため、このファイルへのアクセスはブロックされる可能性があります」という表示がされていれば「ZoneID」が付加された状態です。

図7 「プロパティ」の表示

 Officeの「保護ビュー」の機能も「ZoneID」を参照しており、「ZoneID」が「インターネットから」の場合にはインターネットから取得したファイルと判断し、「保護ビュー」で開かれるようになっています。(その他、インターネット一時ファイルのフォルダーやOutlookの添付ファイルの場合も「保護ビュー」で開かれます)

 また、「IE」、「Edge」、「Chrome」、「Firefox」など主要なブラウザでインターネットからダウンロードしたファイルには自動的に「ZoneID」が付加されるため、「保護ビュー」で開かれます。

 注意が必要なのは、ZIPなどで圧縮されたファイルの場合です。添付ファイルやブラウザでダウンロードした圧縮ファイルには「ZoneID」が付加されています。Windows標準のエクスプローラーで「ZoneID」が付加された圧縮ファイルを展開した場合は、展開後のファイルにも「ZoneID」が維持されます。しかし、「Lhaplus」などのサードパーティの圧縮・解凍ソフトで展開した場合は、一部を除いて展開時に「ZoneID」が削除されてしまいます。

(サードパーティの圧縮・解凍ソフトで展開後も「ZoneID」を維持することを確認しているのは、「WinRAR」と「Explzh」。「WinRAR」は有償。「Explzh」は個人のみ無償、法人は有償)

 そのため、「Lhaplus」などのサードパーティの圧縮・解凍ソフトを使用している場合は、ZIPなどで圧縮されたOffice文書を展開して開くと、「保護ビュー」ではなく、通常のモードで開かれてしまいます。このような動作は利便性を考えれば有用ですが、強力な保護機能である「保護ビュー」を無効にしてしまうため、セキュリティを低下させてしまいます。

 よって、ZIPファイルなどの展開には、Windows標準のエクスプローラー又は展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するようにして下さい。

 ただし、Windows標準のエクスプローラーは暗号化ZIPの作成機能がありません(暗号化ZIPの復号は可能)。暗号化ZIPの作成にサードパーティの圧縮・解凍ソフトが必要な場合は、展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するか、「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更し、サードパーティの圧縮・解凍ソフトは暗号化ZIPの作成時のみ使用するように変更して下さい。

 Windows 10で「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更するには、「設定」->「アプリ」->「既定のアプリ」->「ファイルの種類ごとに既定のアプリを選ぶ」とクリックし、拡張子「.zip」 に関連付けられているアプリをクリック、「アプリを選ぶ」で「エクスプローラー」を選択します。

図8 .zipをエクスプローラーで開くように設定する

 

確実に「保護ビュー」で開く方法

 どうしても「ZoneID」を削除してしまう圧縮・解凍ソフトを使わなければならない場合や、その他の理由で「保護ビュー」で開かれない場合は、強制的に「保護ビュー」で開く方法もあります。

 エクスプローラーで「Shiftキー」を押しながらOffice文書ファイルを右クリックすると「保護ビューで開く」がメニューに出ます。それを選択すれば「ZoneID」の有無に関係なく「保護ビュー」で開かれます。

図9 「Shiftキー」を押しながらファイルを右クリックすると
「保護ビューで開く」がメニューに出る

 添付ファイルやブラウザでダウンロードしたOffice文書を確実に「保護ビュー」で開くにはこの方法を用いると良いでしょう。

関連キーワード

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか