Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」にならない場合

 Officeにおいて「保護ビュー」は、不正なOfficeファイルを用いた攻撃に対する非常に強力な保護機能ですが、設定や環境によっては「保護ビュー」で開かれない場合もあります。

 添付ファイルのOffice文書が「保護ビュー」で開かれるようになっているかを確認するには、フリーメールなどから自分が普段使用しているメールアドレス宛にOffice文書ファイルを添付したメールを送信し、それをいつもの環境や手順で開くことで、「保護ビュー」で開かれることを確認すると良いでしょう。なお、テストはOfficeファイルをそのまま添付した場合と、OfficeファイルをZIPで圧縮して添付した場合の2種類を行って下さい。

 もし、「保護ビュー」で開かれない場合は以下のことを確認してみて下さい。

 

Officeの設定

 既定ではインターネットからダウンロードしたファイルは「保護ビュー」で開く設定になっていますが、何らかの理由で設定が無効になっている場合もあります。

「ファイル」―>「オプション」―>「セキュリティセンター(トラストセンター)」―>「セキュリティセンターの設定(トラストセンターの設定)」―>「保護ビュー」を確認して、「保護ビュー」が有効になっているかを確認して下さい。

図6 「保護ビュー」の設定

 

メールソフト

「Outlook」や「Thunderbird」などのメールソフトでは、添付ファイルのOffice文書をクリックして開くと「保護ビュー」で開かれるようになっています。しかし、メールソフトによっては「保護ビュー」で開かれない場合もあります。

「Outlook」はOfficeのすべてのエディションに含まれます。また、「Thunderbird」は無料でダウンロードして利用することができます。もし、自分の利用しているメールソフトで添付ファイルのOffice文書が「保護ビュー」で開かれない場合は、「Outlook」や「Thunderbird」への乗り換えを検討して下さい。

 また、ブラウザでアクセスする「Webメール」では、添付ファイルはブラウザからダウンロードして開く形になるため「保護ビュー」で開かれるようになっています。

 

圧縮・解凍ソフトによる「ZoneID」の削除

「保護ビュー」が有効にならない理由の多くが圧縮・解凍ソフトによる「ZoneID」の削除です。

 最初からローカルコンピューターに存在するファイルや、社内ファイルサーバーから取得したファイルが常に「保護ビュー」で開かれたり警告が表示されたりするのでは、非常に使い勝手が悪く、利用者が機能を無効にしてしまう可能性があります。

 そのため、Windowsのセキュリティ機能の多くはファイルがインターネットから取得されたものである場合のみ実行されるようになっています。このとき、ファイルがどこから取得されたかを表す識別子としてファイルに付加されるのが、「ZoneID」です。(Mark of the Web[MOTW]と呼ばれることもあります)

 ファイルに「ZoneID」が付加されているかを確認するには、エクスプローラーでファイルを右クリックし「プロパティ」を表示させます。一番下に「このファイルは他のコンピュータから取得したものです。このコンピュータを保護するため、このファイルへのアクセスはブロックされる可能性があります」という表示がされていれば「ZoneID」が付加された状態です。

図7 「プロパティ」の表示

 Officeの「保護ビュー」の機能も「ZoneID」を参照しており、「ZoneID」が「インターネットから」の場合にはインターネットから取得したファイルと判断し、「保護ビュー」で開かれるようになっています。(その他、インターネット一時ファイルのフォルダーやOutlookの添付ファイルの場合も「保護ビュー」で開かれます)

 また、「IE」、「Edge」、「Chrome」、「Firefox」など主要なブラウザでインターネットからダウンロードしたファイルには自動的に「ZoneID」が付加されるため、「保護ビュー」で開かれます。

 注意が必要なのは、ZIPなどで圧縮されたファイルの場合です。添付ファイルやブラウザでダウンロードした圧縮ファイルには「ZoneID」が付加されています。Windows標準のエクスプローラーで「ZoneID」が付加された圧縮ファイルを展開した場合は、展開後のファイルにも「ZoneID」が維持されます。しかし、「Lhaplus」などのサードパーティの圧縮・解凍ソフトで展開した場合は、一部を除いて展開時に「ZoneID」が削除されてしまいます。

(サードパーティの圧縮・解凍ソフトで展開後も「ZoneID」を維持することを確認しているのは、「WinRAR」と「Explzh」。「WinRAR」は有償。「Explzh」は個人のみ無償、法人は有償)

 そのため、「Lhaplus」などのサードパーティの圧縮・解凍ソフトを使用している場合は、ZIPなどで圧縮されたOffice文書を展開して開くと、「保護ビュー」ではなく、通常のモードで開かれてしまいます。このような動作は利便性を考えれば有用ですが、強力な保護機能である「保護ビュー」を無効にしてしまうため、セキュリティを低下させてしまいます。

 よって、ZIPファイルなどの展開には、Windows標準のエクスプローラー又は展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するようにして下さい。

 ただし、Windows標準のエクスプローラーは暗号化ZIPの作成機能がありません(暗号化ZIPの復号は可能)。暗号化ZIPの作成にサードパーティの圧縮・解凍ソフトが必要な場合は、展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するか、「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更し、サードパーティの圧縮・解凍ソフトは暗号化ZIPの作成時のみ使用するように変更して下さい。

 Windows 10で「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更するには、「設定」->「アプリ」->「既定のアプリ」->「ファイルの種類ごとに既定のアプリを選ぶ」とクリックし、拡張子「.zip」 に関連付けられているアプリをクリック、「アプリを選ぶ」で「エクスプローラー」を選択します。

図8 .zipをエクスプローラーで開くように設定する

 

確実に「保護ビュー」で開く方法

 どうしても「ZoneID」を削除してしまう圧縮・解凍ソフトを使わなければならない場合や、その他の理由で「保護ビュー」で開かれない場合は、強制的に「保護ビュー」で開く方法もあります。

 エクスプローラーで「Shiftキー」を押しながらOffice文書ファイルを右クリックすると「保護ビューで開く」がメニューに出ます。それを選択すれば「ZoneID」の有無に関係なく「保護ビュー」で開かれます。

図9 「Shiftキー」を押しながらファイルを右クリックすると
「保護ビューで開く」がメニューに出る

 添付ファイルやブラウザでダウンロードしたOffice文書を確実に「保護ビュー」で開くにはこの方法を用いると良いでしょう。

関連キーワード

SHARE

関連記事

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題