NTTコミュニケーションズ

Bizコンパス

不正なOffice文書によるマルウェア感染への対策
2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

著者 北河 拓士

「保護ビュー」にならない場合

 Officeにおいて「保護ビュー」は、不正なOfficeファイルを用いた攻撃に対する非常に強力な保護機能ですが、設定や環境によっては「保護ビュー」で開かれない場合もあります。

 添付ファイルのOffice文書が「保護ビュー」で開かれるようになっているかを確認するには、フリーメールなどから自分が普段使用しているメールアドレス宛にOffice文書ファイルを添付したメールを送信し、それをいつもの環境や手順で開くことで、「保護ビュー」で開かれることを確認すると良いでしょう。なお、テストはOfficeファイルをそのまま添付した場合と、OfficeファイルをZIPで圧縮して添付した場合の2種類を行って下さい。

 もし、「保護ビュー」で開かれない場合は以下のことを確認してみて下さい。

 

Officeの設定

 既定ではインターネットからダウンロードしたファイルは「保護ビュー」で開く設定になっていますが、何らかの理由で設定が無効になっている場合もあります。

「ファイル」―>「オプション」―>「セキュリティセンター(トラストセンター)」―>「セキュリティセンターの設定(トラストセンターの設定)」―>「保護ビュー」を確認して、「保護ビュー」が有効になっているかを確認して下さい。

図6 「保護ビュー」の設定

 

メールソフト

「Outlook」や「Thunderbird」などのメールソフトでは、添付ファイルのOffice文書をクリックして開くと「保護ビュー」で開かれるようになっています。しかし、メールソフトによっては「保護ビュー」で開かれない場合もあります。

「Outlook」はOfficeのすべてのエディションに含まれます。また、「Thunderbird」は無料でダウンロードして利用することができます。もし、自分の利用しているメールソフトで添付ファイルのOffice文書が「保護ビュー」で開かれない場合は、「Outlook」や「Thunderbird」への乗り換えを検討して下さい。

 また、ブラウザでアクセスする「Webメール」では、添付ファイルはブラウザからダウンロードして開く形になるため「保護ビュー」で開かれるようになっています。

 

圧縮・解凍ソフトによる「ZoneID」の削除

「保護ビュー」が有効にならない理由の多くが圧縮・解凍ソフトによる「ZoneID」の削除です。

 最初からローカルコンピューターに存在するファイルや、社内ファイルサーバーから取得したファイルが常に「保護ビュー」で開かれたり警告が表示されたりするのでは、非常に使い勝手が悪く、利用者が機能を無効にしてしまう可能性があります。

 そのため、Windowsのセキュリティ機能の多くはファイルがインターネットから取得されたものである場合のみ実行されるようになっています。このとき、ファイルがどこから取得されたかを表す識別子としてファイルに付加されるのが、「ZoneID」です。(Mark of the Web[MOTW]と呼ばれることもあります)

 ファイルに「ZoneID」が付加されているかを確認するには、エクスプローラーでファイルを右クリックし「プロパティ」を表示させます。一番下に「このファイルは他のコンピュータから取得したものです。このコンピュータを保護するため、このファイルへのアクセスはブロックされる可能性があります」という表示がされていれば「ZoneID」が付加された状態です。

図7 「プロパティ」の表示

 Officeの「保護ビュー」の機能も「ZoneID」を参照しており、「ZoneID」が「インターネットから」の場合にはインターネットから取得したファイルと判断し、「保護ビュー」で開かれるようになっています。(その他、インターネット一時ファイルのフォルダーやOutlookの添付ファイルの場合も「保護ビュー」で開かれます)

 また、「IE」、「Edge」、「Chrome」、「Firefox」など主要なブラウザでインターネットからダウンロードしたファイルには自動的に「ZoneID」が付加されるため、「保護ビュー」で開かれます。

 注意が必要なのは、ZIPなどで圧縮されたファイルの場合です。添付ファイルやブラウザでダウンロードした圧縮ファイルには「ZoneID」が付加されています。Windows標準のエクスプローラーで「ZoneID」が付加された圧縮ファイルを展開した場合は、展開後のファイルにも「ZoneID」が維持されます。しかし、「Lhaplus」などのサードパーティの圧縮・解凍ソフトで展開した場合は、一部を除いて展開時に「ZoneID」が削除されてしまいます。

(サードパーティの圧縮・解凍ソフトで展開後も「ZoneID」を維持することを確認しているのは、「WinRAR」と「Explzh」。「WinRAR」は有償。「Explzh」は個人のみ無償、法人は有償)

 そのため、「Lhaplus」などのサードパーティの圧縮・解凍ソフトを使用している場合は、ZIPなどで圧縮されたOffice文書を展開して開くと、「保護ビュー」ではなく、通常のモードで開かれてしまいます。このような動作は利便性を考えれば有用ですが、強力な保護機能である「保護ビュー」を無効にしてしまうため、セキュリティを低下させてしまいます。

 よって、ZIPファイルなどの展開には、Windows標準のエクスプローラー又は展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するようにして下さい。

 ただし、Windows標準のエクスプローラーは暗号化ZIPの作成機能がありません(暗号化ZIPの復号は可能)。暗号化ZIPの作成にサードパーティの圧縮・解凍ソフトが必要な場合は、展開後のファイルに「ZoneID」を維持する圧縮・解凍ソフトを利用するか、「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更し、サードパーティの圧縮・解凍ソフトは暗号化ZIPの作成時のみ使用するように変更して下さい。

 Windows 10で「.zip」の拡張子の関連付けをWindows標準のエクスプローラーに変更するには、「設定」->「アプリ」->「既定のアプリ」->「ファイルの種類ごとに既定のアプリを選ぶ」とクリックし、拡張子「.zip」 に関連付けられているアプリをクリック、「アプリを選ぶ」で「エクスプローラー」を選択します。

図8 .zipをエクスプローラーで開くように設定する

 

確実に「保護ビュー」で開く方法

 どうしても「ZoneID」を削除してしまう圧縮・解凍ソフトを使わなければならない場合や、その他の理由で「保護ビュー」で開かれない場合は、強制的に「保護ビュー」で開く方法もあります。

 エクスプローラーで「Shiftキー」を押しながらOffice文書ファイルを右クリックすると「保護ビューで開く」がメニューに出ます。それを選択すれば「ZoneID」の有無に関係なく「保護ビュー」で開かれます。

図9 「Shiftキー」を押しながらファイルを右クリックすると
「保護ビューで開く」がメニューに出る

 添付ファイルやブラウザでダウンロードしたOffice文書を確実に「保護ビュー」で開くにはこの方法を用いると良いでしょう。

関連キーワード

SHARE

関連記事

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」