マクロ悪用のマルウェアが急増、Microsoftが注意呼び掛け

ユーザーをだまして手作業でマクロを有効にするよう仕向ける手口が急増。この手口を使うマルウェアは日本でも検出されているという。

» 2015年01月06日 08時10分 公開
[鈴木聖子,ITmedia]

 Microsoft Officeのマクロ機能を悪用してマルウェアに感染させようとする手口が急増しているとして、米Microsoftが注意を呼び掛けている。

 マクロは複数の手順を記憶して自動的に実行させる機能で、デフォルトでは無効になっている。しかし最近になって、ユーザーをだまして手作業でマクロを有効にするよう仕向け、悪質なコードを実行できる状態にさせてしまう攻撃が浮上しているという。

 Microsoftによると、この手口を使ったスパムメールは2014年12月に入って急増した。マルウェア「W97M/Adnel」「O97M/Tarbir」の検出数は米国と英国が突出しているが、日本などでも検出されている。

国別の感染状況(Microsoftより)

 問題のメールは「ACH Transaction Report」「Invoice as requested」など、取引確認に見せかけた件名で届く。マクロを有効にした状態で添付のOfficeファイルを開くと、マルウェアに感染する恐れがある。

 マクロはデフォルトで無効になっているが、攻撃側はユーザーが添付ファイルを開く過程でOfficeの通知を装って「この文書のコンテンツを表示するために『コンテンツを有効にする』ボタンを押してください」など具体的な指示を出し、マクロを有効にするよう仕向けているという。

通知を装ってマクロを有効化させようとする(同)

 こうした指示と取引内容の確認を装ったメール、もっともらしいファイル名の組み合わせによってユーザーがだまされ、『コンテンツを有効にする』ボタンを押すと、マクロが実行されてマルウェアがダウンロードされる仕組み。Microsoftでは、「領収書や請求書などのファイルはほとんどの場合、マクロを必要としない」と指摘し、署名のないマクロや信頼できない相手からのマクロに注意するよう呼び掛けている。

関連キーワード

マクロ | Microsoft | マルウェア | Office | 感染


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ