Wordマクロでマルウェア感染、古典的手口に要注意

IBMによれば、12月にはメールに添付されたWordファイルのマクロでマルウェアに感染する被害が30件以上確認された。

[國谷武史，ITmedia]

　日本IBMが3月5日に発表した「2014年下半期 Tokyo SOC 情報分析レポート」によると、2014年8月と12月に、国内企業でメールに添付されたWordファイルのマクロによって、マルウェアに感染するケースが30件以上確認された。マクロを悪用する手口といえば、1990年代頃に流行した「マクロウイルス」など、一昔の前のイメージだが、同社は「相手にファイルを開かせる巧妙な手口」と指摘している。

不正なマクロプログラムの実行によるマルウェアダウンロード数（日本IBMより）

　レポートによれば、2014年11〜12月に同社が検知したメール悪用攻撃のうちWordファイルを使うものが38.8％を占めた。59.9％は実行形式のファイルを添付する手口で、脆弱性を悪用するものは1.3％しかなかった。企業側の対策が進んだことで、脆弱性を狙わない攻撃の割合が増しているとみられている。

　Wordファイルを使う攻撃については、2015年1月にMicrosoftが注意喚起している。同社によれば、メールには「Invoice」など業務に関係すると思われるような文面が記され、受信者に添付ファイルを開かせる。ファイルを開いてしまうとマクロが実行され、外部からオンラインバンキングの情報を搾取するマルウェアがダウンロードされる仕組みだ。

　日本IBM シニア・セキュリティー・アナリストの猪俣秀樹氏は、社員に注意を呼び掛けていても仕事上ファイルを開かざるを得ず、マクロを実行してしまうケースが後を絶たないと解説する。近年のMicrosoft Officeではマクロ機能がデフォルトで無効化されてはいるものの、業務の必要性から有効にしているユーザーは多いとみられ、攻撃者はこうした状況を見越した手口を多用している可能性がある。

メールによる脆弱性を悪用する攻撃と悪用しない攻撃の検知割合（同）

　Wordファイルを使う攻撃自体は世界中で確認され、日本企業に狙いを定めていた可能性は低いという。だが、日本企業を狙う標的型攻撃では巧妙な日本語文章で細工されたファイルを相手に開かせる手口が横行している。日本IBMでは「人間の心理を逆手に取るソーシャルエンジニアリングの手口が洗練化しており、サンドボックス環境でファイルを事前に検査するなどの技術も活用した対策が必要」とアドバイスしている。