添付ファイルを開かせてマルウェア(ウイルス)に感染させようとする、請求書を装うメールが不特定多数にばらまかれているとして、日本サイバー犯罪対策センター(JC3)などが1日、注意を呼びかけた。感染すると、ネットバンキングの不正送金被害をもたらすおそれがある。
JC3の発表文には、「請求書」という件名で「コマーシャル・インボイス.xls」というファイルを添付したメールと、「日本郵便 インボイス用紙」という件名で「00000000000000.zip」(0の部分は14文字のランダムな数字)というファイルを添付したメールの2種類が掲載されている。
拡張子「.xls」は、マイクロソフトの表計算ソフトExcelの文書ファイル。これは古いバージョンのExcelのもので、最近はExcel 2007からサポートされているXMLベースの「.xlxs」(マクロ入りの場合は「.xlsm」)が一般的だが、「.xls」に対応するアプリが多いこともあり、Excelファイルのやり取りに今もよく使われている。
拡張子「.zip」のファイルは、ファイルやフォルダーをひとつにまとめたZIP形式の圧縮フォルダーと呼ばれるファイル。JC3の発表文には記載がないが、このZIPファイルの中には、「00000000000000.xls」(0の部分は14文字のランダムな数字)というファイル名のExcelファイルが入っている。
■マクロ機能を悪用するマクロウイルス
ExcelをはじめとするOffice製品には、処理を自動化するプログラム機能「マクロ」が用意されている。便利な機能である反面、マルウェア感染に悪用されることも多く、ファイルに組み込んだ有害なマクロを実行させる行為が古くから繰り返され、「マクロウイルス」などと呼ばれていた。
今回見つかった添付ファイルのExcelファイルは、このマクロを使ってWindowsの標準機能である「PowerShell」(「コマンドプロンプト」の超強力版)を呼び出し、PowerShellにネット上からマルウェア本体をダウンロード・実行させる。実行するのは、国内のネットバンキングの不正送金に使われている、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)だ。
■マクロ設定の確認
Excelのマクロは、悪用されると大きな被害を招くことがあるので、標準状態では実行しないように設定されている。マクロを含んだファイルを標準設定のExcelで開いた場合には、[セキュリティの警告]と書かれた黄色のメッセージバーを表示し、マクロが無効化されていることを伝えてくる。メッセージバーの[コンテンツの有効化] をクリックするとマクロを有効化できるが、実行しても安全であることが分かっている場合以外は、絶対にクリックしてはいけない。安全なものに関しては、クリックしてファイルを「信頼できるドキュメント」にすると、以後警告は出なくなる。
■マクロ設定の確認
Excelの初期設定を変更していなければ、上記のように動作するが、念のため設定を確認しておこう。Excelの[ファイル]タブから[オプション]→[セキュリティセンター]の順に進み、右下の[セキュリティセンターの設定]ボタンを押す。[マクロの設定]の項目が、上から2番目の[警告を表示してすべてのマクロを無効にする]になっている場合には、マクロを含むファイルでセキュリティの警告が表示される。
家庭のパソコンでは、マクロは不要という方が多いかもしれない。その場合には、いちばん上の「警告を表示してすべてのマクロを無効にする」にしておくと、誤操作を防止でき、より安全だ。
(2017/06/02 ネットセキュリティニュース)
【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html