is702
マクロ型ウイルスに注意

メールを悪用した標的型攻撃の手口と対策

2015/11/5
マクロ型ウイルスに注意 メールを悪用した標的型攻撃の手口と対策

標的型攻撃の起点となる攻撃では、メールに添付した不正ファイルを開かせることでウイルスに感染させる手口が定番です。最近は、不正なマクロを埋め込んだ文書ファイルを開かせてパソコンにウイルスを送り込む新しい手口も確認されています。勤務先を重大なトラブルに巻き込まないためにも攻撃の最新手口や、適切な対処法を押さえましょう。

メールを起点に侵入を試みる攻撃が定番

特定の企業や組織に狙いを定めて行われる「標的型攻撃」が依然として猛威を振るっています。この攻撃の主な目的は、ターゲットの企業や組織しか持ち得ない個人情報や技術情報、機密情報を盗み出すことです。

標的型攻撃では、標的組織の内部ネットワークに侵入するために、組織の従業員にメールを送りつけ、それに添付した不正なファイルを開かせてウイルスに感染させる方法が用いられます。

どのように添付ファイルを開かせるか?

従業員に不信感を抱かせないようにメールの添付ファイルを開かせるテクニックは巧妙です。たとえば、実在する部署や人物を装う業務メールで受信者の注意力を削ぎ、議事録や内部資料に見せかけた不正ファイルを開かせる手法があります。また、新聞社や出版社を装った取材の申し込みや講演依頼、顧客のフリをした問い合わせなどの名目でメールを送りつけ、受信者が添付ファイルを開かざるを得ない状況を作り上げることもあります。健康保険組合からの医療費通知メールを偽装したケースでは、1通目にパスワード付きの圧縮ファイルを送りつけ、2通目にパスワードを記載するなど、ビジネスの慣習に則ることで受信者の警戒を解こうとするテクニックも確認されました。

添付されたウイルスのパソコン感染手段は?

最近、標的型攻撃に限らず、存在感を強めているのが、マクロを悪用するウイルス(マクロ型ウイルス)です。マクロは、WordやExcelなどのワープロソフトや表計算ソフトなどが備える機能の1つで、複数の操作手順などを記憶して何度でも繰り返し自動実行できるようにする機能です。攻撃者は、あらかじめWordやExcelなどのファイル内に不正なマクロを埋め込んでおり、ユーザがマクロを有効にした状態でこれらのファイルを開くとウイルスに感染してしまいます。

2015年に入ってマクロ型ウイルスの流行を確認しており、2015年4月から6月の3か月間に検出されたマクロ型ウイルスは、前年の同期と比べると約4.5倍に増加しています。

マクロ型不正プログラム検出台数 (※2015年8月トレンドマイクロ調べ)

Microsoft® Office の初期設定ではマクロが無効になっています。このため、犯罪者はあえて空欄や判読不能な文字を含む文書ファイルを添付し、メール本文やファイル内の記述でマクロを有効化するよう促します。ファイルを開くと上部に表示される「マクロが無効にされました」という警告メッセージで、「コンテンツの有効化」ボタンをクリックするとマクロが実行され、ウイルスに感染してしまうことにも注意が必要です。

不正なマクロの組み込まれた添付ファイルのイメージ

上記の不正な添付ファイルの場合、「文字化けを解消したければ、マクロを有効にしてください」と英語で記載されています(赤字部分)。このとき、ファイルの上部に黄色く表示された「コンテンツの有効化」をクリックするとマクロ機能が有効になりマクロ型ウイルスに感染してしまいます。

マクロ型ウイルス以外にも、パソコンにインストールされたMicrosoft® OfficeやAdobe® Reader®など、代表的なソフトの脆弱性(セキュリティ上の弱点)を悪用して、ユーザの気づかぬうちにウイルスを感染させる攻撃にも注意が必要です。

3つの対策で標的型攻撃に備えよう

従業員一人ひとりができるメールを悪用した攻撃への対策ポイントは大きく3つあります。

メールの添付ファイルを安易に開かない

ファイル付きのメールを受け取ったら標的型攻撃を疑いましょう。普段やり取りしない部署や取引先の担当者から心当たりのないメールが届いたら差出人に直接電話して事実確認することも大切です。実行ファイル(拡張子がexe)や文字化けしたファイルを受信したり、本文が拙い日本語になっていたりするなど、何らかの違和感を覚えたら、ファイルを開く前に社内のセキュリティ担当者に報告し、指示を仰いでください。

不用意にマクロを有効化しない

文書ソフトのマクロ機能が無効であれば、たとえ、不正なマクロを含むファイルを開いてしまってもウイルス感染を防げます。もしも、普段見慣れないマクロの有効化を促すメッセージが表示されたら、ファイルを提供した本人に直接確認を取ってみましょう。

更新プログラムを速やかに適用する

Microsoft® OfficeやAdobe® Reader®などのソフトの脆弱性対策は必須です。ソフトの開発元が提供する更新プログラムを速やかに適用し、脆弱性を修正してください。更新のタイミングについては勤務先のルールに従いましょう。

あらゆる業種・規模の企業や組織が標的型攻撃のターゲットになっています。従業員一人ひとりができる3つの対策ポイントを押さえ、標的型攻撃に備えましょう。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ