偽装ウイルスからPCを守るには――ハッカーが用いる「4種の偽装」：ITmedia エンタープライズ セキュリティセミナーレポート【大阪編2】（1/4 ページ）

編集部が2017年12月に大阪で開催した「ITmedia エンタープライズ セキュリティセミナー」のレポート。後編はコネクトワンの偽装ウイルスの防御、FFRIとTISのエンドポイントセキュリティを紹介する。

[タンクフル，ITmedia]

コネクトワン 代表取締役社長 吉田晋氏

　コネクトワンは、在宅勤務における安全なネットワーク利用のソリューションからスタートした企業だ。自宅のPCから、会社のサーバにある「Word」や「Excel」のファイルを編集して再度サーバに戻す。情報漏えいを防ぐため、PC内でのファイル保存時に暗号化を行い、ファイルをサーバに戻す際には、自宅PCからは暗号化されたファイルが削除される仕組みを作った。今回紹介するソリューションは、この仕組みを応用したものだ。

　講演を行ったコネクトワン 代表取締役社長の吉田晋氏は、同社のソリューションを紹介する前に、ウイルスをPCに感染させるためにハッカーが行っているやり口として、代表的な4つの偽装方法を紹介した。

PCを感染させる「偽装ウイルス」、ハッカーが使う4つの方法

　まずは、ウイルスを圧縮ファイル内に紛れ込ませてメールに添付する方法だ。圧縮された状態でメールに添付されたウイルスは、対策ソフトでは検出されにくい。吉田氏は、「特にパスワード付きのZIPファイルの中身を確認することは困難だ」と説明する。

　2つ目の手口は、ウイルスファイルのアイコンや拡張子を変更する方法だ。ウイルスは、PC内で悪事を働くために必ず「.exe」や「.js」という実行形式のプログラムとなっている。このような実行形式のファイルは、ウイルス対策ソフトに検知されやすいため、拡張子が変えられ、WordやExcelといったOffice系のデータファイルに偽装されることが多い。

　偽装の方法も年々進化している。以前は、アイコンをOffice系アプリのデータファイルのものに変えるだけで、拡張子は実行形式のままなので発見しやすかったが、その後“資料.doc.exe”など、一見データファイルに見えるようにしたり、ショートカット形式で任意のプログラムを実行させたりするものに変わっているという。

　3つ目は、Officeアプリのマクロを使ってウイルスに感染させるものだ。この方法は、ウイルス対策ソフトでは防げない。Officeアプリのマクロ機能はウイルスではないからだ。現在の「Office 365」では、マクロ機能は標準でオフになっているが、ユーザーにマクロを使わせ、ウイルスをダウンロードさせることはできる。例えば、わざと文字化けをしたファイルを添付するといった方法だ。

　例えば「文字化けを起こしている場合には、マクロ機能をオンにして新しいフォントセットをダウンロードしてください」というメッセージでダウンロードを誘導する方法など、次々と新たな手口が編み出される。「これでは、ハッカーとユーザーの知恵比べだ」と吉田氏は述べた。