ESET/マルウェア情報局

便利なマクロ機能にひそむ「マクロウイルス」の危険性とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「オフィスソフトで使われるマクロに潜む危険性とは?」を再編集したものです。

 オフィスソフトなどに搭載されているマクロ機能は、複数の操作をまとめて処理できる機能だ。マクロを活用することで、単純な繰り返し作業の効率が格段に上がる。しかし、マクロウイルスと呼ばれるマクロを悪用したマルウェアも多数存在しており、過去に大きな被害をもたらした例もある。この記事では、オフィスソフトで使われるマクロに潜む危険性とその対策について解説する。

業務効率化に有効なマクロ

 マクロとは規模の大きい作業を自動化処理する機能のことを指す。アプリケーションで利用されるマクロの場合、複数の操作を繰り返す際に、その操作をまとめて登録しておき、それを呼び出して自動的に処理する。マクロ機能が搭載されているアプリケーションは数多くあるが、中でも、ExcelやWordといったオフィスソフトのマクロ機能は業務効率化への貢献度も高く、頻繁に使用されている。オフィスソフトでは、VBAと呼ばれるマクロのためのプログラミング言語を利用することもできるため、アプリケーションを用いて行う業務の多くは、マクロによる自動化が可能である。例えば、以下のような作業が該当する。

 ・ワンクリックでシフト表を発行
 ・数百のファイルから必要なデータをのみを抽出し、グラフ化

 このような一般的な作業であれば、複数の操作、工程を経ていた作業でもマクロを活用して瞬時に作業が完了する。また、一つのアプリケーション内で完結する作業だけでなく、他のオフィスソフトとの連携もできるため、報告書を作成後、メールに添付して送信するといった一連の作業を自動化することも可能だ。

 このように、マクロを上手に活用することで、数時間かかっていた作業を数分で終わらせるといった大幅な効率化が実現できる。

マクロに潜むマクロウイルスの脅威

 マクロは非常に便利な機能である反面、やみくもにマクロを実行してしまうことで、マクロ機能を悪用したマルウェアに感染する危険性もある。

 マクロ機能を悪用したマルウェアは、一般的にマクロウイルスと呼ばれ、ExcelやWordの文書ファイルと一緒に保存されるマクロの中に、無害を装って仕込まれている。感染を狙う手口としては、極めて古典的なものが多い。具体的にどのようなステップで感染してしまうかを紹介しよう。

 1.攻撃者が、マクロウイルスを仕込んだExcelやWordの文書ファイルをメールに添付して送信。

 2.受信したユーザーが何かしらの理由で警戒せず、Wordファイルを開いてマクロを実行。マクロを実行してしまったユーザーの端末にマルウェアが感染。

 近年、信頼できない送信者からの添付ファイルを不用意に開かないようにすることは広く言われてきており、着実に浸透している。常に同じユーザーとしかメールのやり取りをしないのであれば、メール本文、添付ファイルなどに不審な点があれば気づくのは容易だ。しかし、業務上の関係で不特定多数のユーザーとやり取りをするような場合、不審かどうかを判断する材料が不足してしまう。最近では機械翻訳の性能向上なども背景に、以前のように日本語の不自然さで見抜くということもできなくなってきている。要するに、自らの判断だけに頼るのは危険な状況になりつつあるといえる。

過去に大きな被害をもたらしたマクロウイルス「メリッサ」

 マクロウイルスは、2015年以降、増加傾向にあるが、実は過去にも大流行したことがある。特に有名なものが、1999年3月から拡散が始まった「メリッサ」である。メリッサは、Wordの文書ファイルのマクロとして仕込まれており、メールに添付される形で広がっていった。

 もちろん、メールを受信しただけでは、マクロウイルスには感染しない。しかし、ユーザーが不用意に添付ファイルをクリックして開いてしまうと、マクロが実行されてしまう(注:文書を開くとともに、マクロが実行されるように設定されていた)。そして、ユーザーのデフォルトのテンプレートに自身を複製し、他の文書ファイルにも感染していく。さらに、メールソフトのOutlookと連携し、Outlookのアドレス帳から先頭の50件を選択して宛先とし、マクロウイルスが仕込まれた添付ファイル付きのメールを送り付けるという挙動も確認された。当時としては、新しい手口だったため、受信したユーザーが気づかずに感染が広がる結果となった。

 メリッサは、直接的なデータの破壊行動は行わないものの、マクロの警告機能の無効化や、ツールメニューのマクロコマンドなどを使用不可にするといった挙動がみられた。さらに、前述した50件の宛先にメールを送信してしまうことで、メールサーバーやネットワークに余計な負荷を与えた。当時、企業内のユーザーがメリッサに感染してしまったことで、顧客にマクロウイルス入りのメールを送信するといった事態が起こり、信用失墜につながった企業も少なくなかった。

 これら損害の総額は、アメリカ国内だけで8,000万ドル(約95億円、当時の為替レートで換算)以上とも言われており、メリッサを作成したデイヴィッド・L・スミスは有罪判決を受け、20か月の禁固刑と5,000ドル(約60万円、当時の為替レートで換算)の罰金刑が言い渡されることになった。このメリッサの大流行により、マクロウイルスの脅威は世間に広く知られることとなった。

 キーワード事典:メリッサ
 https://eset-info.canon-its.jp/malware_info/term/detail/161216.html

最近流行している新しいタイプのマクロウイルスとは

 メリッサの流行を経て、オフィスソフトはマクロ無効化がデフォルトとなった。また、マクロウイルスの脅威についての認知が広がったことで、関連する被害は少なくなっていった。しかし、以前のマクロウイルスの流行を知らない若い世代が増えてきたことにより、2015年以降には、再びマクロウイルスの増大が顕著になってきている。

 最近では、マクロを実行するとランサムウェアなどのマルウェアを外部からインターネット経由でダウンロードし、感染させるタイプのダウンローダー型マクロウイルスが急増している。ダウンローダーそのものは外部からプログラムをダウンロードする機能しかないため、セキュリティソフトでの検出が難しい。また、攻撃者の手口も年々、巧妙化しており、複合機からのメール通知を偽装して、マクロウイルスへの感染を狙う手口も確認されている。

 複合機の通知などに偽装したマクロ型ウイルスメールにご注意ください
 https://eset-info.canon-its.jp/malware_info/news/detail/150630.html

マクロウイルスに対する有効な対策

 マクロウイルスの被害に遭わないために講じるべき対策としては、次の5つが挙げられる。

 ・身に覚えのないメールは開かない
 マクロウイルスはメールに添付される形で送られてくるのが基本的な手口である。そのため、身に覚えのない宛先からのメールは基本的に開かずゴミ箱行きにすること。特に、Excelの文書ファイルにマクロウイルスが仕込まれることが多い。メールに添付されているExcel文書ファイルはより警戒すべきだ。

 ・知人や友人から送られてきたメールにも注意
 また、ターゲットを絞った標的型メールとして、マクロウイルスが仕込まれた文書ファイルが送られてくることが増えてきている。知人や友人、取引先などから、あたかも自然なやり取りを装った内容のメールが送られることもある。また、再流行の兆しを見せているEmotetに感染すると、感染したユーザーのアカウントを悪用して既存のメールに返信を行って感染を広げるといったように、巧妙化した手口も確認されている。そのため、ファイルを受信したら開封する、という習慣を改め、警戒心を持つことが重要だ。

 ・不用意にマクロを有効化しない
 マクロウイルスへ対処するため、最近のオフィスソフトではデフォルトの状態でマクロが無効化されている。そのまま使っていれば安全性は高いが、攻撃者はあの手この手でマクロを有効化させるための罠を仕掛けている。

 例えば、文書の一部をわざと文字化けするようにしておき、「文字化けを解消するためにマクロを有効にしてください。」などと案内する方法などがある。不審な点が確認された場合は、有効化する前に送付元に確認することで、このような手口による被害を予防できる。

 ・セキュリティソフトを導入する
 ESETに代表される統合型セキュリティソフトを導入することで、怪しい通信をブロックすることができる。マクロウイルスがマルウェアをダウンロードしようとした際、その通信をブロックすることで被害を防止できる。また、マクロウイルスが添付されているメールを検知して隔離することも可能だ。セキュリティソフトは導入して終わりというものではなく、常に検出エンジン(ウイルス定義データベース)をアップデートして最新の状態に保っておくことが重要だ。

 ・OSとオフィスソフトを最新の状態に保つ
 OSとオフィスソフトをアップデートして常に最新の状態に保つことも重要だ。既存の脆弱性への対処が行われるため、安全性が高まる。

マクロウイルスに対する正しい理解が重要

 マクロウイルスは古くから存在する脅威ながら、今なお新しい攻撃手法の開発が進み、軽視できない存在だ。先述のEmotetに関しても、感染を狙うばらまきメールに添付されたファイルにオフィスのマクロ機能を巧みに悪用したものが確認されている。このEmotetの巧妙な手口については「2020年7月・8月 マルウェアレポート」で解説しているので、参考にしてほしい。

 結局のところ、ビジネスで広く使われているオフィスソフトの文書ファイルにマルウェア感染を狙ったマクロを仕込む手口はユーザーがその危険性に気づきにくく、開封しがちであるため、攻撃は成功しやすい。そのため、攻撃者にとっては有効で都合がよい手口となっているのだ。

 従来型ウイルスの実行形式ファイルだけでなく、ExcelやWordの文書ファイルにも危険性が潜んでいるという点を認識し、セキュリティソフトなどのツールをうまく活用することで、被害に遭わないように気をつけてほしい。