マクロ マルウェア再び! ソーシャルエンジニアリングの手法により、攻撃回数が過去6年間で最高の水準に

「セキュリティの警告:この文書にはマクロが含まれています」
1990年代によく見られたメッセージが復活してきました。マクロ マルウェアを組み込んだ文書を開かせる新しい方法を攻撃者が見つけたからです。この最新の脅威は、マクロを頻繁に使用する大規模組織のユーザーを標的にしています。ソーシャルエンジニアリングを利用して入念に作り込まれたメールは、ユーザーからは一見本物に見える文書を開かせ、マクロを実行します。最新のMcAfee Labs脅威レポートによれば、悪意のあるマクロによるインシデントは昨年1年間で4倍に増加しています。

Macro

最も一般的なマクロ マルウェアは、Microsoft Office文書、特にWordファイルに潜んでいます。Wordでは、例えばユーザーが文書を開いたり、閉じたり、新しい文書を作成したときに、マクロを自動で実行することができます。これらのマクロは、正規のマクロでも、悪質なマクロでも実行されます。

一般的に、マクロ マルウェアによるシステムの感染経路は、標的となるユーザーに合わせたソーシャルエンジニアリングの手法により、”本物のように見える” メールの添付ファイルから始まります。一般的な件名には、支払請求、配達通知、履歴書、売上送付状、寄付のお願いといった語句が含まれており、メールの本文は、添付ファイルを開かせるように、一見して正式な署名やロゴなど、件名に合わせた内容になっています。

ファイルが開かれると、Microsoft Officeのセキュリティ機能により、ファイルにマクロが含まれているという警告と、有効にするかどうかの確認が表示されます。これらのファイルの中には、ファイルが保護されており、保護を解除して閲覧するにはマクロを有効にする必要があると説明する長い文章が含まれているものもあります。ユーザーが「有効にする」をクリックすると、悪意のあるコードが実行され、マルウェア ダウンローダーがシステムにドロップされ、本物のマルウェア ペイロードが組み込まれます。多くの場合はその後、自動的に削除されます。また、悪意のあるコードがActive Objectとして文書に埋め込まれている場合もあり、同じくクリックすると警告が表示されますが、多くのユーザーはこれらのファイルがもたらす可能性のある脅威に気付いていません。

マクロ マルウェアの前回の大規模感染からの最大の変化のひとつは、自身を隠ぺいする機能を備え、検出がはるかに困難になっているということです。マクロ マルウェアの作者は、ジャンクコードの追加、暗号化された複雑な文字列の記述など、他の種類のマルウェアで使われているさまざまな技法を導入しています。ジャンクコードとは、実行を目的とするのではなく、シグネチャ検出アルゴリズムを回避し、脅威研究者を混乱させるためのもので、容易に作成し、頻繁に変更できるコードです。メール ゲートウェイやマルウェア キーワードスキャナーが悪意のあるURLを検出できないよう、文字変換など、簡単な機能を複数組み合わせて使用する、より複雑なものも存在します。

マクロのコーディングが簡単かつ容易なため、最低限の技術スキルを持つさまざまな犯罪者がマクロ マルウェアを利用しています。そのため、マクロ マルウェアの潜在的な感染範囲や影響を考えると、企業はあらためてこの脅威についてユーザーを啓発する必要があります。さらに、OSとアプリケーションを最新の状態に保ち、すべてのMicrosoft Office製品のマクロ セキュリティ設定を「高」に設定すべきです。また、メール アプリケーションが添付ファイルを自動で開かないようにしなければなりません。マクロが含まれる添付ファイルをスキャンし、フィルタリングするよう、メール ゲートウェイやウイルス スキャナーを設定することも必要です。

最近のマクロ マルウェア感染の急増についての詳細は、インテルセキュリティの最新の脅威レポート『McAfee Labs Threats Report: November 2015(McAfee Labs脅威レポート:2015年11月)』をご参照ください。