情報処理推進機構(IPA)は7月27日、2017年4月~6月のサイバー情報共有イニシアティブ(J-CSIP)の運用状況を公表した。その参考資料として、多発している文書ファイルを悪用したマルウェア感染の新たな手口を紹介している。
サイバー情報共有イニシアティブ(J-CSIP:ジェイシップ~Initiative for Cyber Security Information sharing Partnership of Japan)は、サイバー攻撃に関する情報共有などを行っている産業分野の業界組織だが、今回公開された参考資料「文書ファイルの新たな悪用手口に関する注意点」は、私たち一般ユーザーの元にもたびたび舞い込む、文書ファイルを添付したマルウェアメールの手口と同じものだ。
マルウェアに感染させるための細工をした文書ファイルは、これまでにもOffice製品の脆弱性を悪用したものや、マクロ機能を悪用する手口のものがあった。マクロは、最近の攻撃でもひんぱんに使われているが、資料では新たな攻撃手口として3つの手口を紹介し、それぞれの注意点を説明している。
手口1:アイコンのような画像が埋め込まれた文書ファイル
アイコンのような画像を埋め込んだWordやExcelの文書ファイルを開かせ、このアイコンをクリックさようとする。クリックすると警告メッセージが表示され、そこで[OK]をクリックしてしまうと、マルウェアに感染させられてしまう。
手口2:Word文書ファイルが埋め込まれたPDFファイル
Wordの文書ファイルを埋め込んだ(添付した)PDFファイルを開かせる。PDFファイルを開くと、文書ファイルを開く警告メッセージが表示され、「ファイルを開く」を選択するとWord文書ファイルが開く。Word文書ファイルには、マクロ機能を有効にするように記載されており、「コンテンツの有効化」をクリックしてマクロを有効化すると、マルウェアに感染させられてしまう。
手口3:細工されたスライドショー形式PowerPointファイル
PowerPointのスライドショーファイルを開かせる。スライド内の特定のエリアにマウスカーソルが触れると、警告メッセージが表示され、「すべて有効にする」や「有効にする」をクリックすると、マルウェアに感染させられてしまう。
3つの手口は、いずれもユーザーがファイルを開いてから何らかの操作を行わなければ、感染活動が始まらない。脆弱性を悪用した攻撃と違い、開いただけでは感染しないので冷静に対処すれば感染せずに済む。警告が出たら、それ以上先に進まず、会社ならシステムの管理部門等へ、個人や自営業の方はファイルの提供元へ連絡し、安全性を確認していただきたい。
■外部から取得したファイルを安全に開く「保護ビュー」
IPAの資料には、こうした攻撃を防ぐ最も重要な機能「保護ビュー」の存在が欠落しているので、ここで補足しておきたい。
3つの手口では、攻撃者はユーザーがWord、Excel、PowerPoint、Adobe Acrobat Reader DCを使用していることを想定し、これらの機能を使って文書ファイルに細工を行っている。これらのアプリには、機能が悪用されないようにするための「保護ビュー」という機能が用意されており、インターネットからダウンロードしたファイルやメールの添付ファイルなどの、外部から取得したファイルを開く際には、ほとんどの機能を無効にしたこの「保護ビュー」を使ってファイルを安全に開くようになっている。
保護ビューは標準で有効になっているため、先の手口1、手口2に書かれた操作はブロックされ、保護ビューを無効にしなければ操作できない。手口3に関しては、保護ビューの有効が前提になっており、無効の場合は警告メッセージが出ない。
Office製品は、保護ビューで開くとメッセージバーに「保護ビュー 注意-インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、保護ビューのままにしておくことをお勧めします。」と表示される。「編集を有効にする」をクリックすると保護ビューが解除されるので、安全性が確認できない限り、絶対にクリックしてはいけない。
Adobe Acrobat Readerの場合は、「保護されたビュー:このファイルは安全でない可能性のある場所から取得されました。セキュリティの問題が発生するのを防ぐために、ほとんどの機能が無効になっています。」と表示される。「全ての機能を有効にする」をクリックすると保護ビューが解除されるので、安全性が確認できない限り、絶対にクリックしてはいけない。
■「Office 2007」は最新版に移行を
保護ビューは、Office製品は「2010」から、Adobe Acrobatは「X 10.1」からの機能なので、それより前の製品を使用している場合には利用できない。Adobe Acrobat X 10はすでにサポートを終了しており、Office 2007のサポートも今年10月10日までだ。サポートを終了した製品は、セキュリティ上の問題が生じてもアップデートされないので、必ず後継版に移行していただきたい。Office 2007は、サポート期間がまだ少し残っているが、早急にアップグレードすることをお勧めする。
■保護ビューに不可欠な「ZoneId」
Windowsには、インターネットから取得したファイルを識別できるように、ファイルに「ZoneId」というマークを付ける機能がある。先のアプリは、このZoneIdをチェックして、保護ビューで開くかどうかを判定している。プログラムなどの実行ファイルを開く際に出るセキュリティの警告なども、このZoneIdの情報に基づいて判断している。
ZoneIdは、ファイルをダウンロードするブラウザやメールソフトが、この機能に対応していなければ付加されない。ZIP圧縮形式のファイルの場合には、ZIPファイルを扱うアーカイバ(解凍ソフト)が未対応だと、ZIP内のファイルにZoneIdが付加されない。USBメモリーやクラウドストレージの同期フォルダなどでも、しばしばこのZoneIdが欠落してしまう。ZoneIdが欠落すると、ブロックされるはずのものがブロックされず、マルウェアに感染してしまう最悪の事態にもなりかねない。お使いの環境で、ZoneIdが正しく付加されるかどうかを、一度確認しておくことをお勧めする。
■「ZoneId」の確認方法
ZoneIdは、ファイルのプロパティで確認できる。メールの添付ファイルやダウンロードしたファイルのプロパティを表示し、[全般]タブの最下段に「セキュリティ:このファイルは他のコンピューターから取得したものです。このコンピューターを保護するため、このファイルのアクセスはブロックされる可能性があります。」という表示があれば、ZoneIdが正しく設定されているので保護ビューなどが機能する。サードパーティ製のアーカイバをご使用の方は、文書ファイルがZIPファイルの中に入っている場合も確認しておくことをお忘れなく。
(2017/08/02 ネットセキュリティニュース)
【関連URL:IPA】
・サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
http://www.ipa.go.jp/security/J-CSIP/index.html
・【参考資料】文書ファイルの新たな悪用手口に関する注意点[PDF]
http://www.ipa.go.jp/files/000060949.pdf
【参考記事:ネットセキュリティニュース】
・日本郵便など騙るマルウェアメールに注意――添付ファイルで不正送金ウイルス感染(2017/07/27-2)
・Excelファイルの添付メールに注意、マルウェア感染のおそれ(2017/07/20)
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染(2017/06/05)
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法(2017/05/26)
・アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法(2016/02/25-2)
・添付ファイル誤実行を食い止める「セキュリティの警告」――仕組みを知って活用を(2016/06/30)