マクロ悪用攻撃に流行の兆し、日本IBMが注意喚起

国内で検知した攻撃の7％を占め、不正マクロを添付したメールが毎月1〜3万件以上も出回っている。

[國谷武史，ITmedia]

　日本IBMは9月4日、同社の東京セキュリティ監視センターで2015年上半期に観測されたセキュリティ脅威動向のレポートを公開した。メールやWebを悪用する攻撃が多数確認され、特に不正なマクロを使う手口が増加しているという。

　同社が国内で検知したメールによる攻撃の内訳は、実行形式型ファイルを添付する手口が92.5％、不正なマクロを含むファイルを添付する手口が7.0％を占め、脆弱性を悪用する手口は0.4％だった。

メールを使う攻撃の状況

　不正なマクロを含むファイルを添付するメールの検知は、2015年2月から毎月増加しており、6月は3万5000件を突破。このメールを受信して添付ファイルを開き、マクロを実行してしまう被害も毎月1〜10件程度確認されている。

不正マクロの実行によって検知された通信

　こうしたマクロ悪用攻撃では、ビジネスに関する内容などに見せかけたメールが送り付けられ、Microsoft Officeのマクロ機能を有効にして添付ファイルの開封を要求するメッセージが記載されているケースが多い。Officeではマクロ機能が初期設定で無効化され、有効にするには警告メッセージをユーザーが設定を変更する。

Office 2007 Wordでのマクロ設定画面

　同社では「一定の割合で被害が起きており、注意を促しても実行してしまう人が必ずいる」と指摘し、攻撃手口への周知が重要になると解説している。

　また、Webサイト閲覧者をマルウェアに感染させる「ドライブ・バイ・ダウンロード攻撃」は、2014年下半期に比べて約3倍に増加した。マルウェア感染で悪用される脆弱性は、Adobe Flash Playerに関するものが全体の99％を占めた。特に6〜7月は、イタリア企業Hacking Teamの情報漏洩で次々に発覚した脆弱性を悪用する攻撃の急増ぶりが目立つ。

ドライブ・バイ・ダウンロード攻撃の発生状況

　ドライブ・バイ・ダウンロード攻撃で感染するマルウェアは、感染先のコンピュータ内のデータを暗号化するなどして仮想通貨などによる身代金の支払いを要求する「ランサムウェア」や、広告を自動閲覧させるものが多かったという。

　ランサムウェアの危険性については、併せて公開された同社のセキュリティ研究機関「X-Force」の2015年第3四半期レポートでも解説。被害を防ぐために（1）データを必ずバックアップしておく、（2）身代金の支払いでデータが復旧するという期待は捨てるべき――とアドバイスしている。