情報セキュリティコラム第18回

Wordの「OLE機能」を悪用した
メール添付ファイルに注意

Officeマクロ利用の新しい手口

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第18回 Wordの「OLE機能」を悪用したメール添付ファイルに注意

メール添付されたOfficeのファイルを開かせ、マルウェアに感染させる攻撃が続いています。新しい手口として警告されているのは「OLE機能」を使ったもの。文書ファイルに埋め込まれたOLE機能を通じてマルウェアに感染させる手口です。社員全員のOfficeの設定を改めて見直してください。
(ITジャーナリスト・三上洋)

サイバー情報共有イニシアティブ・J-CSIPが「OLE機能」悪用の手口を注意喚起

IPA・情報処理推進機構が中心となって運営しているJ-CSIP(サイバー情報共有イニシアティブ)が、メール添付の文書ファイルの手口に関する警告を出しました。Microsoft Wordの「OLE機能」を使ったものです。
宅配便の不在通知のSMSに装ったもので、Androidでは不正アプリを導入させようとします。IPA・情報処理推進機構が2018年8月に注意喚起を出しています。

OLEとは「Object Linking and Embedding」の略で、Windowsで複数のソフトウェアが連携したりデータを共有する技術のこと。たとえばPowerPointに表を入れたいときに、Excelで作った表をコピー&ペーストすれば、そのままExcelで作った表がプレゼン資料に埋め込まれます。それがOLE機能で、異なるアプリケーション間でもオブジェクトを共有できる便利なものです。

攻撃手口としてはメールに文書ファイルが添付されてきます。この文書ファイルにはOLE機能によってマクロが埋め込まれており、それによりマルウェアに感染してしまいます。2019年6月の時点では日本語のメールでは攻撃が確認されていませんが、今後日本でも攻撃手口として使われる可能性があるとしてJ-CSIPでは注意喚起を出しています。

この攻撃はOfficeのマクロを使ったものなので、Officeの「保護ビュー」が有効になっていればマクロ実行前に黄色の警告表示が出ます。しかし「保護ビュー」が無効にされていると以下のように繰り返し警告が出てしまいます。

Word文書ファイルなのにExcel警告表示が繰り返し表示される

J-CSIPが紹介している事例は以下の通りです。まず添付されてきた文書ファイルを開くと、なぜかExcelが開き「Microsoft Excelのセキュリティに関する通知」が表示されます。

罠が仕込まれたWordを開くとなぜかExcelの警告表示に

罠が仕込まれたWordを開くとなぜかExcelの警告表示に

参考:OLE機能を悪用した文書ファイルの手口に関する注意点:IPA

図1:罠が仕込まれたWordを開くとなぜかExcelの警告表示に

これは文書ファイル内でOLE機能によって、Excelを参照してマクロを実行させる手口でしょう。Excelのマクロとしてスクリプトを動かすことでマルウェアに感染させようという攻撃です。

なぜ文書ファイルからExcelを参照するという回りくどい手口を使うのでしょうか(Wordでもスクリプトを動かすことはできる)。筆者の想像にはなりますが、セキュリティ製品の検知を逃れるためかもしれません。一部のセキュリティ製品はOLEオブジェクトを正しく読み込むことができず、不正なスクリプトを検出できない(=すり抜ける)可能性があるからです。

何度も警告ウインドウが表示されるしかけがある

何度も警告ウインドウが表示されるしかけがある

何度も警告ウインドウが表示されるしかけがある

参考:OLE機能を悪用した文書ファイルの手口に関する注意点:IPA

図2:何度も警告ウインドウが表示されるしかけがある

この事例ではさらに複数回の警告表示が出ます。これは文書ファイル内に複数のマクロが埋め込まれているためで、Excelのマクロ実行の警告表示が何度も何度も表示されるのです。間違って「マクロを有効にする」を押させるための罠なのかもしれません。

いずれにしても「マクロを無効にする」を押し続けることが大切です。一度でも有効にしてしまうとマルウェアに感染させるためのスクリプトが実行されてしまいます。

「保護ビュー」を無効にしない・「編集を有効にする」を押さない

これらのOfficeのマクロを使った攻撃は「保護ビュー」を有効にし「編集を有効にする」を押さなければ回避できます。これは安全対策の基本中の基本です。

しかしながら実際には、保護ビューを無効にしている人もいるようです。たとえば検索サイトで「保護ビュー」を検索すると、追加のキーワードで多いのは「解除」です。つまり「保護ビュー 解除」と検索して、無効にしようとする人が多いという現実があります。その度に表示される「保護ビュー」の表示が面倒だと思って無効にしてしまうのでしょう。

「保護ビュー」では「編集を有効にする」を押さない

「保護ビュー」では「編集を有効にする」を押さない

参考:OLE機能を悪用した文書ファイルの手口に関する注意点:IPA

図3:「保護ビュー」では「編集を有効にする」を押さない

しかし現在の標的型攻撃ではメール添付のWordやExcelなどのファイルが主要な攻撃手段になっています。「企画書.doc」「公演の依頼.doc」「請求書.xls」「災害対策一覧.ppt」など受け取った人が思わず開いてしまう、内容をすぐに読みたくなるような心理的な攻撃をしてきます。そのため「保護ビュー」を有効にすることは絶対に必要です。

社員全員に改めて「保護ビューに有効にすること」と「コンテンツの有効化をクリックする前に本当に必要なファイルかじっくり考える」ことを徹底してください。

RTF(リッチテキストフォーマット)が攻撃に使われている

J-CSIPによれば今回の事例ではRTFファイルによる攻撃が確認されているそうです。RTFとは「Rich Text Format」のことで、Microsoftが定めた共通文書フォーマットです。RTFファイルは通常はダブルクリックするとWordが開き、OLE機能によって他のアプリケーションのデータも参照できます。そのため今回のような攻撃にも使われたのでしょう。

過去にはRTFファイルを使った別の攻撃もありました。RTFファイルでは任意のファイルを埋め込みでき、写真のサムネイルのように表示されます。そのため不正なスクリプトの実行を誘う手段としても悪用されてきました。

RTFファイルは通常の仕事であれば使う機会は少ないはずです。RTFファイルが添付されている時点で不審なメールだと考えたほうがいいでしょう。RTFファイルへの対策としてJ-CSIPでは「RTFファイルでも保護ビューを有効する」ことを推奨しています。

攻撃に使われるRTFファイルでも保護ビューを有効に

攻撃に使われるRTFファイルでも保護ビューを有効に

参考:OLE機能を悪用した文書ファイルの手口に関する注意点:IPA

図4:攻撃に使われるRTFファイルでも保護ビューを有効に

RTFファイルを開く度に「保護ビュー」の表示が出るように、上記のように設定を変更しておきましょう。

改めて社員に徹底させるべき項目

WordやExcelは毎日使うファイルだけに、サイバー攻撃する側もメインの感染手口として狙ってきます。改めて以下の対策を社員に徹底してください。

Officeマクロの感染を防ぐ対策

  • メールの添付ファイルを開く前に「本当に大丈夫?」と立ち止まって考える
  • Officeの「保護ビュー」を有効にする
  • 「コンテンツの有効化」「マクロを有効にする」は押さない。どうしても必要な場合はメール送信元の信頼度を確かめる
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウィンドウが表示された際、無視して操作を進めるのでなく、警告の意味が分からない場合は操作を中断、システム管理部門などに連絡してもらうことを周知する。

標的型攻撃やばら撒き型の攻撃は、多くがメール添付のOfficeファイルを使ったものです。社員には、開く前に一瞬立ち止まって「送信元は本物?本当に必要なファイル?」と考えるクセをつけるよう周知しましょう。

掲載日:2020年2月12日

執筆者プロフィール

ITジャーナリスト・三上洋(みかみよう)

セキュリティ、ネット事件、スマートフォンを専門とするITジャーナリスト。読売オンラインでセキュリティ連載「サイバー護身術」を長期連載するほか、テレビやラジオでの軽妙な語り口による分かりやすい解説に定評あり。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。