マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」

米CERT/CCによると、Office 2010〜2013のインタフェースでは、マクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう公算が大きくなった。

» 2016年06月10日 08時13分 公開
[鈴木聖子ITmedia]

 Microsoft Wordのマクロ経由で感染するマルウェアが復活しているとして、米セキュリティ機関のCERT/CCが6月8日のブログで企業などに対策を促した。マクロが悪用される責任の一端はMicrosoft Officeのユーザーインタフェースにもあると指摘している。

 マクロ経由で感染するウイルス「Melissa」が猛威を振るったのは1999年。しかしその後、マクロウイルスは影を潜めていた。これが再浮上した一因としてCERT/CCの研究者は、マクロに対するOfficeの警告表示の変化を挙げる。

 Officeでマクロを実行するためには、まず複数の手順を経てマクロを有効にする必要がある。Office 97ではマクロの危険性について明記したダイアログボックスを表示。Office 2003までのバージョンでは情報量はやや少なくなったものの、やはりダイアログボックスが表示されていた。

Office 97の警告メッセージ(CERT/CC)

 Office 2007ではこのダイアログボックスが出なくなり、Wordの画面の上部に「マクロを無効にしました」という警告バーが表示されて、隣の「オプション」ボタンをクリックすると、マクロについての危険性を告知した上で、有効にする選択肢が提示されるようになった。

Office 2007の警告メッセージ(同)

 ところがOffice 2010〜2013になると、警告バーの「マクロを無効にしました」という通知の隣は「コンテンツを有効にする」というボタンに変わった。

Office 2013の警告ボタン(同)

 これについてCERT/CCの研究者は、これでマクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう公算が大きくなったと指摘。「セキュリティの観点からは後退だ。ユーザーはマクロの危険性について何の情報も提供されず、一見、『コンテンツを有効にする』という選択肢しかないように見える。これは危険だ。攻撃者はソーシャルエンジニアリングの手口を使ってユーザーが『コンテンツを有効にする』をクリックするよう仕向けている」と解説する。

 実際には「マクロを無効にしました」という文面をクリックすると、マクロの危険性に関する告知画面が表示される。しかし、「コンテンツを有効にする」ボタンに隠されて、この情報の存在に気付かないユーザーは多いはずだと研究者は危惧する。

 企業などに対しては、ユーザーが不用意にマクロを有効にしないよう、グループポリシーを使ってマクロの機能を制限するなどの対策を促している。

Office 2013では「ファイル」のオプションから「セキュリティセンター」で設定する

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ