マクロ悪用のサイバー攻撃、今度はDropboxを使用

Microsoft Officeのマクロ機能を悪用するマルウェア感染攻撃で、攻撃者が不正ファイルの配布にDropboxを利用していることが分かった。

[ITmedia]

　Microsoft Officeのマクロ機能を悪用するサイバー攻撃が増える中、トレンドマイクロは4月30日、マルウェア感染にDropboxを使う新たな手口を確認したとブログで伝えた。取引や決済などに関するメールを企業へ送り付け、文中のリンクからマルウェアを設置したDropboxのページにユーザーを誘導する。

　同社によると、企業に送り付けられるメールは、米国で企業間の電子決済などに使われる「Automated Clearing House」（ACH）の通知を装ったものが多く、ACH以外にもFAXの受信通知や請求書、明細書、宅配などの通知を装ったメールもある。受信者に仕事関係のメールと思い込ませる狙いがあるようだ。

マルウェア配布ページへのリンクを記した偽装メール（トレンドマイクロより）

　メールの本文に「詳しくはこちら」といったメッセージとURLが記載され、従業員などの受信者がURLのリンクをクリックすると、Wordファイルが置かれたDropboxのページに誘導される。このWordファイルを開くと、Microsoft Officeのマクロ機能を有効にするようメッセージが表示される。ユーザーがマクロ機能を有効にすると、別のマルウェアがコンピュータに送り込まれ、感染してしまう。

Dropboxのページに置かれた不正なWordファイルの中身（同）

　トレンドマイクロは、4月29日時点でメールに記載されたDropboxページへのリンクを1000本以上確認しており、Dropboxにも状況を報告。Dropboxなどを悪用する手口は、これまで攻撃者が感染コンピュータを遠隔操作するサーバ（C＆Cサーバ）を設置するなどのケースで確認されていたが、マクロを悪用する攻撃での使用は初めて確認された。

　被害は北米地域が多いが、日本での感染も6％に上る。トレンドマイクロは今後、同種の攻撃が急増するだろうと警鐘を鳴らしている。

過去3カ月の不正なWordファイル感染の国別割合（同）

古典的なマクロ悪用攻撃が進化

　Microsoft Officeのマクロ機能を悪用するサイバー攻撃は、2000年代に流行したものの、MicrosoftがOfficeのマクロ機能を初期設定で無効にするなどの措置を講じてきたことから、減少傾向にあった。しかし、企業などではマクロを業務に使用するユーザーが今なお多く、サイバー攻撃者がこれに気付いて再び悪用し始めたようだ。Microsoftは1月6日にマクロ悪用攻撃への注意を呼び掛けている。

　再び流行し始めたマクロ悪用攻撃は、当初にはマクロを悪用するWordファイルをメールに添付して送り付ける手口は主流だったものの、今回のようにクラウドストレージなどのWebサービスを経由したり、Excelなど別のタイプのOfficeファイルを使ったりするなど、多様化しつつある。また、マクロの実行で新たに感染するマルウェアは、オンラインバンキングの情報を盗んだり、不正送金を行ったりするトロイの木馬が多く、4月中旬頃からファイルを暗号化して金銭を要求する「ランサムウェア」なども加わった。

　トレンドマイクロは、古い手法のマクロ悪用攻撃が今でも十分に通用すると指摘する。対策では（1）よほどの必要性がなければマクロ機能を無効にする、（2）不審なファイルを気軽に開かない、（3）社員への教育・啓発を徹底する――といった基本に加え、同社は業務でマクロを使わないようシステムやセキュリティポリシーの見直しや変更などの対応も必要になるとアドバイスしている。

　マクロ機能の設定は、Officeのバージョンなどによって一部異なるが、「オプション」から「セキュリティ センター」を呼び出し、「セキュリティ センター」の設定にある「マクロの設定」で選択する。

Word 2007でマクロを設定するイメージ