セールスセンターサイト

セールスセンター2022.04.07

マクロウイルスはなぜすり抜ける?感染経路と対策方法を解説

マクロウイルスはなぜすり抜ける?感染経路と対策方法を解説

90年代終盤から2000年代初頭にかけて流行した「マクロウイルス」が、再流行の兆しを見せています。一度は沈静化したマクロウイルスが、なぜ再び広がっているのでしょうか。

今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、マクロウイルスが流行している背景や感染経路、対策方法を学んでいきましょう。

目次

  1. 1. 古くて新しいウイルス「マクロウイルス」が再流行
  2. 2. 近年のマクロウイルスの特徴と感染経路
  3. 3. マクロウイルスへの対策方法
  4. 4. まとめ

1. 古くて新しいウイルス「マクロウイルス」が再流行

新人セキュリティ担当の石塚さん24歳石塚

先日、私が所属しているチームのPCでウイルスが検出されたみたいなんです。

セキュリティに精通した中山部長44歳中山

それは大変だったね。でも、石塚さんのチームはしっかりセキュリティ対策をしているはずだよね。

新人セキュリティ担当の石塚さん24歳石塚

私もそう思っていたんです。でも、マクロウイルスっていう新種のウイルスで、対策が不十分だったみたいで…。幸い、ほかの部署に広がる前に食い止められたようですが…。

セキュリティに精通した中山部長44歳中山

なるほど。マクロウイルスか。実は、マクロウイルスは2000年代にも流行した、どちらかといえば古いタイプのウイルスなんだ。石塚さんたちが小さい頃に流行ったから、新種に見えちゃうかもしれないね。

新人セキュリティ担当の石塚さん24歳石塚

えっ?そうなんですか?てっきり新種のウイルスかと…。

セキュリティに精通した中山部長44歳中山

オフィス製品のマクロ機能を利用して感染するウイルスで、一時期大流行したんだよね。その後、オフィス製品全般にマクロウイルス対策が施されてからは、かなり下火になったけど、最近になってまた感染事例が報告されているようだね。

新人セキュリティ担当の石塚さん24歳石塚

そんなに昔からあるウイルスなのに、なぜまた流行しているのでしょうか?

セキュリティに精通した中山部長44歳中山

石塚さんのように、マクロウイルスの脅威をリアルタイムで体験していない世代が社会に出始めて、警戒が弱まっているのかもしれない。あとは、手口の巧妙化だね。感染するとやっかいなウイルスだから、この機会にしっかり知識を身につけておこう。

90年代終盤から2000年代にかけて大流行したマクロウイルスは、近年ふたたび流行の兆しを見せています。マクロウイルスは、マルウェアやランサムウェアの踏み台となることも多いため、警戒が必要です。
また、近年のマクロウイルスはソーシャルエンジニアリングと組み合わされることも多く、手口が巧妙化していることも見逃せません。

マクロウイルスとは?

マクロウイルスとは、表計算ソフトや文書作成ソフトなどに付与されている「マクロ機能」を利用したウイルスの総称です。ソフト内で使用されるマクロ用言語で作成されており、OSのなかで使用できる標準機能を経て不正な処理を行うため、発見が難しいという特徴があります。
90年代から2000年代の流行においては、Microsoft社がマクロ機能の無効設定を標準化したことで、徐々に沈静化しました。しかし、定型作業を自動するマクロは一般企業でも当たり前のように使われており、根絶が難しいのが実情です。

マクロウイルスの振る舞いと被害事例

マクロウイルスの一般的な振る舞いは以下のとおりです。

  • マクロ機能を悪用して、自己増殖または破壊的な処理を実行する
  • Excel→Outlookのように連携し、登録済みの連絡先に対し自己をコピーした添付ファイルを一斉送信する

マクロウイルスは、ソフトの標準機能を使用して外部のプログラムを自由に呼び出すことができます。また、マクロ機能が動く環境であればどのようなOSでも動作します。
このことから、サイバー攻撃のなかでも汎用性が高い方法といえるでしょう。

たとえば、1999年に大流行したマクロウイルス「Melissa」は、一見すると単なる添付ファイルに過ぎません。しかし、クリックによってマクロが実行されると、Outlookから任意に50の宛先を選択し、自信のコピーを添付してメールを送信します。既知のアドレスから送信されるため、受信者は「知り合いからのメール」と誤信して、添付ファイルをクリックしてしまいます。このプロセスが繰り返されることで、急激に拡大していきました。

Melissa自体は、直接的な破壊活動を行うマクロウイルスではありません。しかし、取引先へ感染で信用が低下したり、大量のメール送信によってサーバーに負荷がかかったりと、二次的な被害が生じました。

新人セキュリティ担当の石塚さん24歳石塚

普段使っている業務用アプリのファイルに組み込まれているのですね。しかも、知り合いからのメールなら、私もクリックしてしまうかもしれません。でも、昔からあるウイルスなのに、なぜ排除されないのでしょうか。セキュリティソフトに検知されないものなのですか?

セキュリティに精通した中山部長44歳中山

マクロウイルスは、便宜上そう呼ばれているだけで、決まった「型」はないからね。マクロに記載されているソースコードが動くまでは、特に害のあるデータ(オブジェクト)を持っているわけではないんだ。だから、ウイルス対策ソフトのおもな検知方法である、パターンマッチング(ウイルスに感染したファイルにみられるパターンと照合する手法)にもひっかからない。それから、過去の攻撃パターンとの照合を行う「ふるまい検知」に対しては、新規の攻撃パターンを採用することですり抜けてしまうこともあるんだよ。

新人セキュリティ担当の石塚さん24歳石塚

いろいろすり抜けられてしまうなんて、厄介ですね。

セキュリティに精通した中山部長44歳中山

外見上は単なる文書ファイルだったりするから、ソースコードの内容を見て、その意図を理解できないと100%回避することは不可能に近いかもしれないね。近年のマクロウイルスは高度化・巧妙化しているし、警戒を強めておくべきだよ。

マクロウイルスの概要 マクロウイルスの概要

2. 近年のマクロウイルスの特徴と感染経路

高度化するマクロウイルス

近年のマクロウィルの実例として「EMOTET」の仕組みを見ていきましょう。EMOTETは2014年ころから、おもにネットバンキングを狙ったマルウェアとして知られるようになりました。ここ数年は、一般企業において感染の報告が増えており、公的機関からも警戒が呼びかけられています。

EMOTETは、ソースコード内に膨大なURLを記述するなど、難読性が上がっていることが特徴です。また、はじめからEMOTET本体を添付するのではなく、OSが持つ標準機能をまたいで本体をダウンロードさせるため、検知されにくいという特性も持っています。

具体的には、ファイルに添付された不正なマクロが実行されたタイミングで、Windowsの機能であるコマンドプロンプト(cmdやPowerShell)から、コマンドが発行されます。これを複数回繰り返し、さらに複数のURLへの接続を経て、最終的にEMOTET本体(exeファイル)をダウンロードさせるという仕組みです。

また、不正な処理を実行したあとは自らを削除するなど、痕跡を残さない工夫も見られます。さらに、解析機能を持たないサーバーにのみ感染し、自己をアップデートする機能も持っています。

ソーシャルエンジニアリングによって感染

マクロウイルスはおもに、文書ファイルやメールに添付されます。しかし、マクロウイルスの存在が知れ渡るにつれ、添付ファイルに対する警戒が広まりました。近年は、こうした警戒をすり抜けるために、ソーシャルエンジニアリングが利用されています。

ソーシャルエンジニアリングとは、人間の油断や隙に付け込み、機密情報を入手する手法です。オフラインの人間関係をベースとすることから、警戒されにくいという強みを持っています。

近年のマクロウイルスの感染経路では「懇意にしている同僚」や「信頼のおける上司」「既存顧客」などからの連絡を装って、マクロ機能を有効化するように仕向けるものが散見されます。
たとえば「先月分の請求書」「来週の打ち合わせ資料」などと題し、あたかも業務上必要不可欠なデータのように偽装し、添付ファイルをクリックさせるわけです。


Emotetへの感染を狙う攻撃メールの例

Emotetへの感染を狙う攻撃メールの例

添付ファイルを開いたときの画面の例

添付ファイルを開いたときの画面の例

「コンテンツの有効化」ボタンに注意

「コンテンツの有効化」ボタンに注意 出典:「「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」(IPA)
https://www.ipa.go.jp/security/announce/20191202.html
新人セキュリティ担当の石塚さん24歳石塚

難読化しているうえに痕跡も残さず、さらに自分をアップデートさせることもできるなんて…。感染したら大変なことになりますね。

セキュリティに精通した中山部長44歳中山

そうだね、EMOTETは解析が難しく、感染後は一気に被害が拡大しやすいので非常に厄介なマクロウイルスだといわれているね。

新人セキュリティ担当の石塚さん24歳石塚

しかもソーシャルエンジニアリングでこちらの心理的な弱さをついてくるなんて。感染を回避するなんて、無理じゃないですか?

セキュリティに精通した中山部長44歳中山

この情報だけ見ると防ぎようがないと感じるのも無理はないね。でも感染リスクを下げる方法はちゃんとあるよ。

3. マクロウイルスへの対策方法

マクロウイルスへの対策方法としては、「ソーシャルエンジニアリング対策」と「セキュリティソフトの導入」の2つが挙げられます。

ソーシャルエンジニアリング対策

マクロウイルス全体に対する一般的な対策としても挙げられているように、下記を徹底することで感染のリスクを大幅に低減できます。




  • OSとオフィス製品のバージョンを常に最新状態に保つ

エンドポイントセキュリティの導入

マクロを強制的に無効化する機能や、別ファイルに置き換える機能などを持ったセキュリティソフトであれば、組織内にマクロウイルスが蔓延するリスクを減らすことができます。

新人セキュリティ担当の石塚さん24歳石塚

とにかく安易に添付ファイルやURL、マクロ有効化ボタンをクリックしないということですね。

セキュリティに精通した中山部長44歳中山

そのとおり。あとは、エンドポイントセキュリティを充実させることも忘れないようにしておこう。エンドポイントセキュリティがしっかりしていれば、感染の拡大を防ぐことができるからね。

4. まとめ

マクロウイルスはソーシャルエンジニアリングの手法を使って侵入し、感染後はOSの標準機能を利用することから、検知が困難なウイルスとされています。
ソーシャルエンジニアリング対策とエンドポイントセキュリティを平行しながら、感染リスクをできるだけ低く保つことを意識していきましょう。