マクロウイルスはなぜすり抜ける？感染経路と対策方法を解説

90年代終盤から2000年代初頭にかけて流行した「マクロウイルス」が、再流行の兆しを見せています。一度は沈静化したマクロウイルスが、なぜ再び広がっているのでしょうか。

今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長（44歳）と新人セキュリティ担当の石塚さん（24歳）の会話から、マクロウイルスが流行している背景や感染経路、対策方法を学んでいきましょう。

1. 古くて新しいウイルス「マクロウイルス」が再流行

90年代終盤から2000年代にかけて大流行したマクロウイルスは、近年ふたたび流行の兆しを見せています。マクロウイルスは、マルウェアやランサムウェアの踏み台となることも多いため、警戒が必要です。
また、近年のマクロウイルスはソーシャルエンジニアリングと組み合わされることも多く、手口が巧妙化していることも見逃せません。

マクロウイルスとは？

マクロウイルスとは、表計算ソフトや文書作成ソフトなどに付与されている「マクロ機能」を利用したウイルスの総称です。ソフト内で使用されるマクロ用言語で作成されており、OSのなかで使用できる標準機能を経て不正な処理を行うため、発見が難しいという特徴があります。
90年代から2000年代の流行においては、Microsoft社がマクロ機能の無効設定を標準化したことで、徐々に沈静化しました。しかし、定型作業を自動するマクロは一般企業でも当たり前のように使われており、根絶が難しいのが実情です。

マクロウイルスの振る舞いと被害事例

マクロウイルスの一般的な振る舞いは以下のとおりです。

• マクロ機能を悪用して、自己増殖または破壊的な処理を実行する
• Excel→Outlookのように連携し、登録済みの連絡先に対し自己をコピーした添付ファイルを一斉送信する

マクロウイルスは、ソフトの標準機能を使用して外部のプログラムを自由に呼び出すことができます。また、マクロ機能が動く環境であればどのようなOSでも動作します。
このことから、サイバー攻撃のなかでも汎用性が高い方法といえるでしょう。

たとえば、1999年に大流行したマクロウイルス「Melissa」は、一見すると単なる添付ファイルに過ぎません。しかし、クリックによってマクロが実行されると、Outlookから任意に50の宛先を選択し、自信のコピーを添付してメールを送信します。既知のアドレスから送信されるため、受信者は「知り合いからのメール」と誤信して、添付ファイルをクリックしてしまいます。このプロセスが繰り返されることで、急激に拡大していきました。

Melissa自体は、直接的な破壊活動を行うマクロウイルスではありません。しかし、取引先へ感染で信用が低下したり、大量のメール送信によってサーバーに負荷がかかったりと、二次的な被害が生じました。

2. 近年のマクロウイルスの特徴と感染経路

高度化するマクロウイルス

近年のマクロウィルの実例として「EMOTET」の仕組みを見ていきましょう。EMOTETは2014年ころから、おもにネットバンキングを狙ったマルウェアとして知られるようになりました。ここ数年は、一般企業において感染の報告が増えており、公的機関からも警戒が呼びかけられています。

EMOTETは、ソースコード内に膨大なURLを記述するなど、難読性が上がっていることが特徴です。また、はじめからEMOTET本体を添付するのではなく、OSが持つ標準機能をまたいで本体をダウンロードさせるため、検知されにくいという特性も持っています。

具体的には、ファイルに添付された不正なマクロが実行されたタイミングで、Windowsの機能であるコマンドプロンプト（cmdやPowerShell）から、コマンドが発行されます。これを複数回繰り返し、さらに複数のURLへの接続を経て、最終的にEMOTET本体（exeファイル）をダウンロードさせるという仕組みです。

また、不正な処理を実行したあとは自らを削除するなど、痕跡を残さない工夫も見られます。さらに、解析機能を持たないサーバーにのみ感染し、自己をアップデートする機能も持っています。

ソーシャルエンジニアリングによって感染

マクロウイルスはおもに、文書ファイルやメールに添付されます。しかし、マクロウイルスの存在が知れ渡るにつれ、添付ファイルに対する警戒が広まりました。近年は、こうした警戒をすり抜けるために、ソーシャルエンジニアリングが利用されています。

ソーシャルエンジニアリングとは、人間の油断や隙に付け込み、機密情報を入手する手法です。オフラインの人間関係をベースとすることから、警戒されにくいという強みを持っています。

近年のマクロウイルスの感染経路では「懇意にしている同僚」や「信頼のおける上司」「既存顧客」などからの連絡を装って、マクロ機能を有効化するように仕向けるものが散見されます。
たとえば「先月分の請求書」「来週の打ち合わせ資料」などと題し、あたかも業務上必要不可欠なデータのように偽装し、添付ファイルをクリックさせるわけです。

3. マクロウイルスへの対策方法

マクロウイルスへの対策方法としては、「ソーシャルエンジニアリング対策」と「セキュリティソフトの導入」の2つが挙げられます。

ソーシャルエンジニアリング対策

マクロウイルス全体に対する一般的な対策としても挙げられているように、下記を徹底することで感染のリスクを大幅に低減できます。

• 覚えのないメールの添付ファイルは開かない
出典：「標的型攻撃への対策」（総務省）
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/05.html

• URLをクリックしない
出典：「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて」（IPA）
https://www.ipa.go.jp/security/announce/20191202.html

• 安易にマクロ有効化ボタンをおさない
出典：「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて」（IPA）
https://www.ipa.go.jp/security/announce/20191202.html

• OSとオフィス製品のバージョンを常に最新状態に保つ

エンドポイントセキュリティの導入

マクロを強制的に無効化する機能や、別ファイルに置き換える機能などを持ったセキュリティソフトであれば、組織内にマクロウイルスが蔓延するリスクを減らすことができます。

4. まとめ

マクロウイルスはソーシャルエンジニアリングの手法を使って侵入し、感染後はOSの標準機能を利用することから、検知が困難なウイルスとされています。
ソーシャルエンジニアリング対策とエンドポイントセキュリティを平行しながら、感染リスクをできるだけ低く保つことを意識していきましょう。