マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」
米CERT/CCによると、Office 2010〜2013のインタフェースでは、マクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう公算が大きくなった。
Microsoft Wordのマクロ経由で感染するマルウェアが復活しているとして、米セキュリティ機関のCERT/CCが6月8日のブログで企業などに対策を促した。マクロが悪用される責任の一端はMicrosoft Officeのユーザーインタフェースにもあると指摘している。
マクロ経由で感染するウイルス「Melissa」が猛威を振るったのは1999年。しかしその後、マクロウイルスは影を潜めていた。これが再浮上した一因としてCERT/CCの研究者は、マクロに対するOfficeの警告表示の変化を挙げる。
Officeでマクロを実行するためには、まず複数の手順を経てマクロを有効にする必要がある。Office 97ではマクロの危険性について明記したダイアログボックスを表示。Office 2003までのバージョンでは情報量はやや少なくなったものの、やはりダイアログボックスが表示されていた。
Office 2007ではこのダイアログボックスが出なくなり、Wordの画面の上部に「マクロを無効にしました」という警告バーが表示されて、隣の「オプション」ボタンをクリックすると、マクロについての危険性を告知した上で、有効にする選択肢が提示されるようになった。
ところがOffice 2010〜2013になると、警告バーの「マクロを無効にしました」という通知の隣は「コンテンツを有効にする」というボタンに変わった。
これについてCERT/CCの研究者は、これでマクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう公算が大きくなったと指摘。「セキュリティの観点からは後退だ。ユーザーはマクロの危険性について何の情報も提供されず、一見、『コンテンツを有効にする』という選択肢しかないように見える。これは危険だ。攻撃者はソーシャルエンジニアリングの手口を使ってユーザーが『コンテンツを有効にする』をクリックするよう仕向けている」と解説する。
実際には「マクロを無効にしました」という文面をクリックすると、マクロの危険性に関する告知画面が表示される。しかし、「コンテンツを有効にする」ボタンに隠されて、この情報の存在に気付かないユーザーは多いはずだと研究者は危惧する。
企業などに対しては、ユーザーが不用意にマクロを有効にしないよう、グループポリシーを使ってマクロの機能を制限するなどの対策を促している。
関連記事
- 日本もマクロ攻撃のブーム再来、企業は要注意
不正なマクロを埋め込んだOfficeファイルを添付してメールで送り付ける攻撃が2015年10〜12月期に急増。特に企業は注意すべきだという。 - 注文確認や複合機の偽メールに警戒を 不正マクロでウイルス感染
実在企業からの注文確認や社内の複合機から発信されたように見せかけた詐欺メールが大量に確認された。不正マクロを仕込んだWordファイルが添付されている。 - ウイルス付き攻撃メール(?)を受け取った件
思わず添付ファイルを開きそうでした……。 - ウイルス感染を狙うバラマキメールの特徴――10月に大量流通
注文書や複合機の通知などになりすまして、ウイルスに感染させるための添付ファイルを開かせようとする。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.