メールの添付ファイルを開かせ、マルウェア(ウイルス)に感染させようとする日本語メールのばらまきが続いています。さまざまな件名や内容のメールが不特定多数宛てに送られており、うっかり開いてしまいそうなものもあります。もちろん開かないのが一番ですが、うっかり開いてしまっても、操作を誤りさえしなければ感染に至らずに済みます。
今回は、そんなメールの添付ファイルと安全に付き合う方法として、添付ファイルの素性を知るための基本設定と、誤って開いてしまった場合の対処方法をお届けします。
<INDEX>
■ファイルの“素性”を知る
ファイルの拡張子を表示する/ファイルの種類を表示する
■マルウェア感染に使われるファイルの拡張子と種類
実行型プログラムの場合/文書ファイルの場合/「保護ビュー」を利用するには
■セキュリティの警告/保護ビューに不可欠な「ZoneID」
■「ZoneID」の確認方法
<以下本文>
今年の初めごろまでは、JavaScriptなどのスクリプトファイルや、それをZIPファイルに格納したものが、マルウェアメールに添付されるファイルの主流でした。スクリプトというのは、パソコンやアプリが実行する指示を書いたプログラムの一種です。攻撃者は、外部からマルウェア本体をダウンロードしてシステムに感染させるスクリプトを送り込み、ユーザーにそれを実行させようとしました。
スクリプトファイルが警戒され、一部メールサービスでは送受信が規制されるようになった現在は、WordやExcelなどの文書ファイルを添付する攻撃が主流になっています。スクリプトファイルと違い、日常でやりとりされることの多い文書ファイルは、一律に規制することができません。添付ファイルの内容が次々に変わるためか、対策もなかなか進まないようで、フィルタリングをすり抜け受信箱に紛れ込んで来るメールも多いようです。
標準設定のWindowsは、ファイルの拡張子や種類を表示しないため、アイコンやファイル名に騙されて、うっかり開いてしまうことがあります。何を開こうとしているのかが判別できるように、拡張子やファイルの種類の表示方法を知っておきましょう。これらを活用すると、ファイルを開く前にファイルの素性を知ることができます。
図1 非表示/表示のファイルの見え方
拡張子や種類を表示すると、何のファイルか判断しやすくなります。なお、ショートカットファイル(.lnk .pif .url)の拡張子は、拡張子を表示するように設定しても表示されません。
●ファイルの拡張子を表示する
拡張子の表示設定は、Windowsエクスプローラーのオプションや表示タブで変更できます。まずWindowsエクスプローラーを開き、Windows 7の場合は、メニュー(表示されていない場合は[Alt]キーを押す)[ツール]→[フォルダーオプション]を選択します。[表示]タブの一覧の中にある[登録されている拡張子は表示しない] のチェックボックスをオフにすると、拡張子が表示されるようになります。[フォルダーに適用]ボタンをクリックすると、同じ種類のフォルダーすべてに適用されます。
Windows 8.1/10の場合は、Windowsエクスプローラーの[表示]タブを選択すると、リボンの[表示/非表示]の欄にある[ファイル名拡張子]という項目でも変更できます。チェックボックスをオンにすると、拡張子を表示するようになります。
図2 拡張子の表示設定:フォルダーオプションは「登録されている拡張子は表示しない」をオフに(上)。 リボンは[ファイル名拡張子]をオンに(下)
●ファイルの種類を表示する
ファイルの種類は、Windowsエクスプローラーのフォルダーの表示方法を[詳細]に切り替えると表示されるようになります。詳細表示で[種類]の項目がない場合には、ファイル一覧の項目名を右クリックし、コンテキストメニューの中の[種類]のチェックをオンにすると、表示項目に[種類]が追加されます。
マルウェア感染に使われることの多いファイルには、マルウェア本体や本体を外部からダウンロードしてくる実行型のプログラム、それを埋め込んだ文書ファイルがあります。
●実行型プログラムの場合
マルウェア本体や本体を外部からダウンロードしてくる実行型のプログラムファイルは、次のような拡張子と種類のものがよく使われます。これらは、開くとプログラムが実行され、マルウェアに感染してしまうおそれがあります。
表1 よく使われるファイルの拡張子と種類(実行型プログラムの場合)
メールの添付ファイルやインターネット上からダウンロードしたファイルの場合には、セキュリティの警告が出るので(場合によっては出ないこともある)、気付かずに開いてしまった場合は直ちに操作を中止してください。
図3 セキュリティの警告:ネットから取得したファイルを開く際に表示される「セキュリティの警告」
●文書ファイルの場合
マルウェア感染に使われることの多い文書ファイルは、Microsoft Officeの文書ファイル(Excel、Word、PowerPoint)と、Adobe Acrobat/Readerのドキュメントファイルで、次のような拡張子のものがあります。
表2 よく使われるファイルの拡張子と種類(文書ファイルの場合)
これら文書ファイルは、アプリの処理を自動化する「マクロ」「スクリプト」と呼ばれるプログラム機能や、文書内に他のファイルを埋め込む機能をサポートしており、誤って操作してしまうと感染活動が始まります。メールの添付ファイルやインターネット上からダウンロードしたファイルの場合、アプリは「保護ビュー/保護されたビュー」という特別なモードで文書ファイルを開きます。このモードでは、閲覧以外のほとんどすべての機能が無効になるので、マクロや埋め込みは機能せず、マルウェア感染を阻止します。
保護ビューで開いた文書ファイルには、メッセージバーに次のようなメッセージが表示されます。「編集を有効にする」や「全ての機能を有効にする」をクリックすると、保護ビューが解除されるので注意してください。安全であることが分かっている場合以外は、絶対にクリックしてはいけません。
開いた文書には、しばしば保護ビューを解除するよう指示するメッセージや、保護ビューでは行えない編集や印刷を行わせようとするメッセージが書かれていることがあります。くれぐれも騙されて解除しないようご注意ください。保護ビューを解除しさえしなければ、マルウェアに感染することはありません。
図4 保護ビュー:Microsoft Excelの保護ビュー(上)、Adobe Acrobat Readerの保護されたビュー(下)
●保護ビューを利用するには
保護ビューは、Office製品は「2010」から、Adobe Acrobat/Readerは「X 10.1」からサポートされた機能です。それより前の製品を使用している場合には、この安全策が利用できません。
Acrobat/Reader Xはすでにサポートを終了しており、セキュリティ更新プログラムの提供も停止しています。古いバージョンを使っている方は、直ちに最新版にアップグレードしてください。閲覧ソフトのReaderは、無料で利用できます。ちなみに後継のAdobe Reader XIは、2017年10月でサポートが終了します。下記の公式サイトにある「Acrobat Reader DC」をお使いください。
Adobe Acrobat Reader DCのダウンロード(アドビシステムズ)
https://get.adobe.com/jp/reader/
保護ビューをサポートしていないOffice 2007は、2017年10月でサポートを終了します。サポート期間がまだ少し残っていますが、使っている方は早急にアップグレードをご検討ください。
Windowsのシステムやアプリは、メールの添付ファイルやインターネット上からダウンロードしたファイルに対し、マルウェア感染を防ぐ特別な保護対策を用意しています。この保護対策の利用に不可欠なのが、「ZoneID」と呼ばれる機能です。
ZoneIDは、ひとつのファイルに複数のデータを記録する「代替データストリーム」というWindowsの機能を使い、ファイル本体のデータとは別に記録したデータです。具体的には、「Zone.Identifier」というストリームに次のようなデータが記録されていると、ネット上から取得したファイルと識別されます。
図5 Excelファイルの代替データストリームに記録されたZoneID
プログラムファイルを開いた際の「セキュリティの警告」や、文書ファイルを開いた際の「保護ビュー」は、システムやアプリがこのZoneIDをチェックし、その情報に基づいて判断しています。したがって、ファイルをダウンロードするブラウザやメールソフトが対応していなければZoneIDが付加されず、せっかくの保護対策が機能しません。
アプリで開く場合には、そのアプリも対応していなければいけません。プログラムファイルや文書ファイルは、しばしばZIP圧縮形式のファイルに格納されていることがありますが、Windows標準の機能を使用していない場合は注意が必要です。アーカイバ(解凍ソフト)をインストールしている場合、アーカイバが未対応だと、ZIP内のファイルにZoneIDが付加されません。USBメモリーやクラウドストレージの同期フォルダーなどでも、しばしばこのZoneIDが欠落してしまうので注意が必要です。ZoneIDが欠落すると、ブロックされるはずのものがブロックされず、マルウェアに感染してしまうかもしれません。
■「ZoneID」の確認方法
利用している環境で、ZoneIDが正しく付加されるかどうかを、一度確認しておくことをお勧めします。ダウンロードしたファイルがZoneIDで正しく識別されるかどうかは、ファイルのプロパティで確認できます。Windowsエクスプローラーでメールの添付ファイルやダウンロードしたファイルを選択します。マウスの右ボタンをクリックし、コンテキストメニューの中の[プロパティ]を選択すると、ファイルのプロパティが表示されます。Windows 8.1/10はWindowsエクスプローラーの[ホーム]タブのリボンにある[プロパティ]でも同じものを表示します。
図6 ファイルのプロパティ
ZoneIDが正しく設定されている場合は、[全般]タブの最下段に図6のような「セキュリティ」の項目が表示されます。この表示があれば、ネットから取得したファイルに対する保護機能が働きます。
サードパーティ製のアーカイバをご使用の方は、アーカイバの動作も含めて確認しておきましょう。例えば、作成した文書ファイルをZIP圧縮ファイルにして自分自身にメールします。受信メールのZIPファイルをローカルのディスクに保存してプロパティを確認します。次に中のファイルを取り出し、プロパティを確認します。どちらも「セキュリティ:」の項目が表示されれば合格です。
ダウンロードファイルのZoneIDが欠落している場合は、ダウンロードしたメールソフトやブラウザなどの対応製品への変更を早急に検討しましょう。
ZoneID付きのZIPファイルから中身を取り出すとZoneIDが欠落してしまう場合は、未対応のアーカイバソフトがインストールされています。対応製品に変更するか、Windowsの標準機能が処理するように設定を変更しましょう。
ファイルのプロパティの[全般]タブで、「プログラム:」の項目にある[変更]ボタンをクリックすると、そのファイルを処理するプログラムを変更できます。「エクスプローラー」を選択すると、ZoneIDに対応したシステムが処理するようになります。
図7 ファイルを処理するプログラムの変更
(執筆:現代フォーラム/鈴木)