社員が退職する際、会社内のアカウントの引き継ぎはスム
マクロウイルスは、WordやExcelなどのオフィスソフトウェアのマクロ機能を悪用して広がるウイルスです。Microsoft はセキュリティ対策としてアップデートされたパッチでは、マクロをデフォルトで無効にすることを機能を標準化したため、マクロウイルスの被害はかなり収まりました。
しかしながら、マクロウイルスを応用したエモテットややMacユーザーをターゲットにしたマクロウイルスなどが降猛威をふるい被害が拡大しています。そのため、適切な対策を講じることが不可欠です。
そこで、このブログでは、マクロウイルスとは、マクロウイルスに感染する原因、その歴史、種類、マクロウイルスを事前に効果的に防ぐ方法をご紹介します。
マクロウイルスとは?
マクロウイルスとは、主にMicrosoft WordやExcelなどの文書ファイル内に埋め込まれるマクロという一連の操作を自動化するためのスクリプトやプログラムを悪用したコンピュータウイルスでありマルウェアの一種です。
文書内やエクセルファイルなどにマクロ言語が埋め込まれており、ユーザーによってファイルが開かれることでウイルスが実行されます。
マクロウイルスは、感染したファイルを開くたびに他の文書ファイルにも自己複製する特性を持っており、これにより感染が広がります。
このマクロ自体は、正当な目的として使用されることを前提としてプログラムであるため、悪意のあるマクロか正常なマクロかをウイルス対策ソフトを使って、区別するのが困難なケースもあります。
そのため、ウイルス対策ソフトによってマクロウイルスは検出されづらいという厄介な特性があります。
マクロウイルスに感染する原因とは?
マクロウイルスに感染する原因はさまざまですが、主に以下のような行動や状況によって感染が引き起こされることが多いです。
メールの添付ファイルやファイルダウンロード
まず、メールの添付ファイルやインターネットからのファイルダウンロードが大きなリスクとなります。
不審なメールの添付ファイルを開くことや、信頼できないウェブサイトからのファイルをダウンロードすることは、マクロウイルス感染の主な原因の一つです。
特に、知らない送信者からのメールや、内容が怪しいメールには特に注意が必要です。
巧妙なフィッシングメール
ソーシャルエンジニアリングを駆使したフィッシングメールは、受信者を巧みに騙して悪意のあるリンクをクリックさせたり、感染したファイルをダウンロードさせたりする手口です。これらのメールは、信頼できる企業や組織、あるいは親しい友人や同僚を装って送信されることが多いため、受信者が疑いを持たずに対応してしまうことがあります。
例えば、あなたの利用しているサービスがポリシーをアップデートしたため、同意がない場合はアカウントを一時停止しますという内容で「24時間以内に同意書を今すぐご確認ください」というようなメッセージが送られます。
このようなメールに添付されたファイルを開くと、マクロウイルスが実行され、システムに侵入することになります。
このようなソーシャルエンジニアリング攻撃は、受信者の心理を利用して緊急性を強調し、迅速な行動を促します。
このような緊急の指示に従って行動すると、マクロウイルスに感染する危険が高まります。
古いバージョンのソフトウェアの利用
マクロウイルスに感染する原因としては、古いソフトウェアの利用も挙げられます。特に、セキュリティ更新が行われていない古いバージョンのMicrosoft Officeを使用している場合、マクロウイルスに対する防御が十分でないことがあります。
例えば、古いバージョンのMicrosoft Officeでは、マクロの自動実行を制御する機能が不十分であることがあります。
これは、文書ファイルを開いた際にマクロが自動的に実行される設定になっている場合があり、受信者が何の警告もなく感染ファイルを開いてしまうリスクが高まります。
最新バージョンのソフトウェアでは、マクロの実行前に警告メッセージを表示する機能が強化されているため、ユーザーが不審なファイルに対して警戒心を持つことができます。
マクロウイルスの歴史と種類
マクロウイルスの歴史としての流れは、1990年代にMicrosoftのワードやエクセスの脆弱性をついて、瞬く間にその存在が広く知られるようになりました。
ここでは、大きく3つのステージに分けて、マクロウイルスの歴史をご紹介します。
1999年 – メリッサウイルス
有名なマクロウイルスの事例として、メリッサウイルスがあります。1999年に初めて出現したメリッサウイルスは、その迅速な拡散力と被害の大きさで世界的に注目されました。
具体的には、ユーザーがメリッサウイルスに感染した添付ファイルを開くと、そのコンピュータがウイルスに感染し、Microsoft Word 97および2000、Excel、Outlookのマクロを利用して他の電子メールメッセージに急速に広がりました。
このメリッサウイルスは、世界中で100万を超える電子メールアカウントに混乱をもたらし、損害を与えたとされています。
この影響を受け、Microsoft はセキュリティ対策としてOffice 2000 以降のバージョンでは、マクロをデフォルトで無効にすることを機能を標準化しました。
ユーザーが手動で設定を変更しない限り、マクロは有効にならず、マクロウイルスが実行されるリスクもありません。
2014年以降 – エモテット
2014年以降に登場したエモテット(Emotet)は、マクロウイルスの進化系として知られる非常に高度で破壊的なマルウェアです。エモテットは当初、バンキング型トロイの木馬として銀行の認証情報を盗むことを目的に作成されました。しかし、その後急速に進化し、自己複製機能や多機能なモジュールを取り込むことで、非常に危険な脅威となりました。
エモテットの感染方法は、主にフィッシングメールを通じて行われます。
これらのメールには、信頼できるベンダーやパートナー企業や組織の人物を装ったメッセージとともに、感染したMicrosoft WordやExcelの文書ファイルが添付されています。
ソーシャルエンジニアリングが巧妙に利用され、受信者がメールの内容を信じて添付ファイルを開くように仕向けられます。
ユーザーが添付ファイルを開くと、文書内のマクロが実行され、エモテットがシステムに侵入します。
エモテットは感染したシステム上でスパムメールを大量に送信し、受信者がこれを開くとさらに感染が広がるという自己増殖機能を持っています。
エモテットは、他のマルウェアをダウンロードして実行する能力も持っています。例えば、ランサムウェアやキーロガーなどのマルウェアを感染したシステムに導入し、二次的な被害を引き起こし、組織内の水平展開などにも繋がります。このため、エモテットに感染したシステムは、単なるマクロウイルスの被害にとどまらず、複数のマルウェアによる連鎖的な被害を受けることになります。
2017年 – Macをターゲットにしたマクロウイルス
マクロウイルスは、主にMicrosoft Officeのマクロ機能を悪用して広がるウイルスであり、Windows環境で広く知られていますが、Macユーザーも決して無関係ではありません。
Macユーザーをターゲットにしたマクロウイルスは、Microsoft Office for Mac(Word、Excel、PowerPointなど)を利用するユーザーを標的として、2017年以降に被害が拡大しました。
これらのウイルスは、文書ファイルに埋め込まれたマクロを実行することで感染を広げます。感染の流れはWindowsと同様で、ユーザーが感染したファイルを開き、マクロを有効にすることでウイルスが実行されます。
マクロウイルスやエモテットが添付されたソーシャルエンジニアリングの例
マクロウイルスは、Microsoftのアップデートにより収束したかと思われましたが、エモテットと呼ばれさらに巧妙に手口も進化しました。
そこで、これらの被害に遭わないように実際に、送られているエモテットが添付されたソーシャルエンジニアリングの事例をご紹介します。
組織の財務部を装ったメール
組織の財務部を装ったメールでは、なんの覚えもないのに、自分宛に請求書を確認してほしいといった内容である。また緊急などの文言で今すぐ、行動させるように不安を煽らせてきます。
件名: 【緊急】請求書の確認と支払い手続きについて
財務部各位
お疲れ様です。今月の請求書を添付しましたので、至急ご確認の上、支払い手続きをお願いします。支払い期限が迫っているため、迅速な対応をお願いいたします。
ご不明な点がございましたら、財務部までご連絡ください。
よろしくお願いいたします。
財務部[署名]
取引先のベンダーを装ったメール
取引先のベンダーを装ったメールでは、契約やポリシーなどを確認してほしいといった本物に近いような内容で届きます。
件名: 【重要】新しい契約書の確認とサイン
○○株式会社 御中
いつもお世話になっております。新しい契約書を添付しておりますので、ご確認の上、ご署名ください。お手数をおかけしますが、早急にご対応いただけますと幸いです。
ご質問やご不明な点がございましたら、いつでもご連絡ください。
何卒よろしくお願い申し上げます。
△△株式会社営業部[署名]
これらのソーシャルエンジニアリングを利用したフィッシングメールは巧妙に作られており、本物そっくりで見分けも付かなくなってきています。
そこで、大事なのが取引先ベンダーや組織内の他の部署など知ってる企業や人の場合は、直接内容を確認するか、他のコミュニケーションツールで確認を取ることがマクロウイルスやエモテットを防ぐために大切になります。
マクロウイルスを事前に防ぐ対策方法とは
マクロウイルスを事前に防ぐためには、以下のようないくつかの重要な対策を講じることで、それらのリスクを大幅に低減することができます。
信頼できる送信元でも、添付ファイルを安易に開封しない
マクロウイルスを防ぐためには、たとえ信頼できる送信元からのメールであっても、添付ファイルを安易に開かないことが重要です。
送信者が偽装されている可能性があるため、添付ファイルを開く前に、送信者に確認を取るなどの慎重な対応が必要です。
また、メール本文に不自然な点や緊急性を強調する内容が含まれている場合は、特に注意が必要です。
マクロを無暗に「有効化」しない
Microsoftのツールでマクロを無暗に「有効化」しないことも重要な防御策です。
多くのオフィスソフトウェアは、マクロが含まれる文書を開いた際に、マクロを有効にするかどうかを確認する警告メッセージを表示します。
マクロが業務に必要な場合にのみ、有効にするよう心掛けることが重要です。
仮に業務上で、マクロの利用が必要な場合は、併せてソーシャルエンジニアリングの見分け方をしっかり予習しておくことが大切です。
定期的なOS・ソフトウェアの更新
定期的なOSやソフトウェアの更新は、マクロウイルスを含む多くのセキュリティ脅威に対する防御策として非常に有効です。ソフトウェアの開発者は、新たに発見された脆弱性を修正するためのパッチやアップデートを提供しています。これらの更新を怠ると、古いバージョンのソフトウェアに存在する脆弱性が悪用されるリスクが高まります。したがって、OSやオフィスソフトウェアを常に最新の状態に保つことが重要です。
ソーシャルエンジニアリングを見抜くトレーニング
ソーシャルエンジニアリングを見抜くトレーニングも、マクロウイルス対策には欠かせません。フィッシングメールやなりすましメールなど、ソーシャルエンジニアリングを利用した攻撃手法はますます巧妙になっています。従業員やユーザーに対して、これらの攻撃を見抜くためのトレーニングを定期的に実施し、警戒心を高めることが重要です。具体的にソーシャルエンジニアリングを見分けるために以下のような項目を確認しましょう。
- 不審な添付ファイルやリンクが添付されている
- 差出人が不明または信頼できない
- メールの文法やスペルに誤りが多い
- 送信者が緊急性を強調している
- 個人情報や機密情報の提供を要求している
- 見慣れないドメインから送信されている
- 提供された情報が公式なものと異なる
- 不自然に親しげな口調で書かれている
- ログイン情報の確認や更新を促している
- 予期しない請求書や支払い要求がある
ウイルス対策ソフトの利用
ウイルス対策ソフトの利用も、マクロウイルスの感染を防ぐために効果的です。しかし、マクロウイルスは一般的なウイルス対策ソフトでは検知しづらい場合があるため、その振る舞いを監視する機能を持つソフトウェアを選ぶと効果的です。
そして、定期的にシステムスキャンを行うことで、マルウェアの早期検出と駆除が可能になります。
また、リアルタイム保護機能を有効にすることで、ウイルスやマルウェアがシステムに侵入する前に検出・ブロックすることができます。ウイルス対策ソフトの定義ファイルも常に最新の状態に保つことが重要です。
まとめ:マクロウイルスから被害に遭わないように
マクロウイルスの被害を防ぐためには、多層的なセキュリティ対策が必要です。
まず、信頼できる送信元からのメールであっても、添付ファイルを安易に開かないことが重要です。また、マクロを無暗に「有効化」しないよう注意し、必要な場合にのみ有効化するように心掛けましょう。
さらに、定期的なOSやソフトウェアの更新を行い、最新のセキュリティパッチを適用することが大切です。
また組織内では、ソーシャルエンジニアリングを見抜くトレーニングを定期的に実施し、従業員やユーザーのセキュリティ意識を高めることも重要です。
併せて以下のような記事もご覧ください。