2019年 1月

企業のITセキュリティ講座

「Office」ファイルを悪用するウイルス感染に新手法

ライター/吉澤亨史

「Word」や「Excel」といったマイクロソフト「Office」のアプリケーションは、アドビシステムズのPDFファイルと並んで、ウイルス感染に悪用されることが多い。Officeファイルを悪用するマルウェアは、マクロを有効にさせてマルウェアに感染させる手法が再発しており、2018年5月にはExcelのIQYファイル、9月にはWIZファイルを悪用する手口が確認されている。この記事では、Officeファイルを悪用する感染手口と、その対策について紹介していきたい。

Officeファイルを悪用する感染手口

マイクロソフトの「Office」は、ビジネス向けの文書ソフトとして一般的に普及している。Officeは、ドキュメントソフトの「Word」、表計算ソフトの「Excel」、プレゼンテーションソフトの「PowerPoint」、メールやスケジューラー、住所録機能を持つ「Outlook」など、複数のソフトが一つになったスイート製品。OSであるWindowsよりも古くから存在しており、Mac版が先に発売されていたことも有名な話だ。

ただ、ビジネス向けとして高いシェアを誇るソフトだけに、以前からサイバー攻撃の標的にもなっている。特に、Officeファイルはウイルスに感染させる媒体として悪用された。その一つに、Outlookのメール機能に搭載されている添付ファイルのサムネイル表示機能がある。これは、メールの添付ファイルを小さな画像として表示するもので、わざわざ添付ファイルを開かなくても、プレビュー表示で画像などを確認することができるという便利な機能だ。

しかし、この機能は、添付ファイルのプログラムを実行することで成立するため、ウイルスを含んだファイルまで実行してしまい、パソコンがウイルスに感染するケースが相次いだ。また、あらかじめ一定の動作を記録しておき、それを実行することで定常作業を削減できる「マクロ」という機能も悪用された。マクロの中に、ウイルスに感染させるような動作が設定されていた、というわけだ。マクロウイルスは、一時期、ウイルス感染の常とう手段としてまん延した。

これらの悪用された機能は、既に削除されたり、初期設定で無効にされていたりと、対策が講じられている。マクロについては、初期設定で無効になっており、必要に応じてユーザーがファイルごとに機能を有効化できるように仕様が変更された。しかし最近では、ソーシャルネットワーキングの仕組みを利用して機能を有効化し、ウイルスに感染させるという手法が増加している。件名や本文が日本語で表示されており、仕事関係のメールと勘違いしそうな内容になっているため、うっかりしてメールを開くことのないよう十分に注意が必要だ。

Officeを悪用するメールの例
引用:IPA(情報処理推進機構)IQYファイルを悪用する攻撃手口に関する注意点(https://www.ipa.go.jp/files/000068065.pdf)

目次へ戻る

IQYファイル、WIZファイルとは

このように、マクロなどの機能を悪用してウイルスに感染させる手法が2018年ごろから再発している。特に、添付ファイルに「IQYファイル」および「WIZファイル」を使用するものについては、IPAをはじめとした複数のセキュリティベンダーが注意喚起を促している。IQYファイルを悪用した攻撃メールは、「ご確認ください」「写真送付の件」「写真添付」「お世話になります」といった、仕事上よく使われる件名にすることで、うっかり開いてしまうことを狙っている。

IQYファイルとは、「.iqy」という拡張子を持つファイルのことだ。IQYは「Internet Query」の意味で、WindowsではWebサイトからデータを取り込むためのファイルとしてExcelに関連付けられている。ユーザーが添付ファイルをダブルクリックするとExcelが起動してファイルが表示される。この際、Windowsのセキュリティ機能で「セキュリティに影響を及ぼす可能性のある問題点が検知された」という旨の警告ダイアログが表示されるが、ここで「有効にする」をクリックすると、インターネットからExcelにデータの取り込みが行われる。取り込んだデータにはスクリプトが含まれており、これが実行されるとウイルス本体がPCにダウンロードされる。ここで再び警告ダイアログが表示され、ダイアログの「はい」をクリックするとウイルスに感染してしまう。

一方、WIZファイルは、以前から使用されているマクロを悪用するタイプのウイルスメールだ。WIZは「Wizard」の意味で、操作説明などを行うウィザードに使用される。「.wiz」の拡張子を持ち、Wordに関連付けられている。添付ファイルをダブルクリックすると、Wordが起動してファイルを表示する。この際、Windowsのセキュリティ機能で警告ダイアログが表示され、「マクロを有効にする」あるいは「コンテンツの有効化」というボタンが表示される。Officeの「保護ビュー」と呼ばれる機能だ。ここでボタンをクリックすると悪意のあるマクロが実行され、ウイルスに感染してしまう。

IQYファイルを開いた場合の警告ダイアログ

目次へ戻る

Officeファイルを悪用する手口への対策

IQYファイルやWIZファイルを悪用するメール攻撃では、主にバンキングマルウェアへの感染が確認されている。これは、ユーザーのインターネットバンキングのログイン情報を盗み出し、不正送金などを行う手法。こうした新たな手法は、すぐに広がるので、将来的にランサムウェアやマイニングマルウェアに感染するケースが出てくることも考えられる。こうした脅威があることを認識し、怪しいメールは開かないように注意したい。

今回取り上げたメール攻撃は、いかにも仕事で使われそうな件名にすることで、ユーザーがうっかり添付ファイルを開いてしまうことを狙いとしている。ただ、「送信者やそのメールアドレスに不審な点が多い」「メールの本文に宛先となる社名や名前がない」「メールの本文に送信者の署名や連絡先がない」「.iqyや.wizの拡張子を持つファイルが添付されている」など、添付ファイルを開く前に、メール攻撃であることに気がつけるポイントも多い。受信メールを開く前に一歩立ち止まってチェックすることで、被害の大半は防ぐことができるだろう。

「ファイル制限機能の設定」

またIQYファイルの場合は、Excelの「セキュリティセンター」で保護ビューの対象となるファイル形式を設定することができる。Excelのオプションから [セキュリティセンター] → [セキュリティセンターの設定] を開き、[ファイル制限機能の設定] で [Microsoft Officeクエリファイル] の項目にあるチェックボックスにチェックを入れる。そしてその下にある [選択した形式のファイルを開く処理] で [選択した形式のファイルを開かない] にチェックを入れ [OK] をクリックすれば、.iqyの拡張子を持つファイルを開かないようにできる。

もちろん、セキュリティ対策ソフトも有効だ。サイバー攻撃者により、これまで使われていなかった拡張子のファイルもウイルスの拡散に利用されるようになっている。セキュリティ対策ソフトもこれに対応し、検知範囲の拡大などの対処を行っている。セキュリティ対策ソフトは、こうしたアップデートも行われるので常に最新の状態にしておくよう心掛けたい。これは、Windows Updateやアドビ製品のアップデートについても同様だ。

目次へ戻る

関連記事