So-net無料ブログ作成

Excelファイルの添付メールに注意、マルウェア感染のおそれ

 添付したExcelファイルを開かせてマルウェア(ウイルス)に感染させようとするメールが不特定多数にばらまかれているとして、日本サイバー犯罪対策センター(JC3)などが19日、注意を呼びかけた。感染すると、ネットバンキングの不正送金被害をもたらすおそれがある。

 JC3の発表では、「重要書類」という件名と「口座振替払い」という件名のメールが紹介されている。「重要書類」の方の本文は、「お世話になります。昨日お話した重要書類です。」という内容で、「XX00000000.xls」(Xは任意の英数字、0は任意の数字)というファイルが添付されている。「口座振替払い」の方は、「御依頼の登記が完了しましたので、お手数ですが、費用のお振り込みをお願いします。よろしくお願いします。」という内容で、「サービス請求書.xls」というファイルが添付されている。

 添付されたこれら拡張子「.xls」のファイルは、マイクロソフトの表計算ソフトExcelのファイルだ。Excelには、処理を自動化するプログラム機能「マクロ」が用意されており、添付されたExcelファイルは、このマクロを使い、Windowsの標準機能のひとつPowerShellに、インターネット上からマルウェア本体をダウンロードして実行するよう指示する。実行するのは、国内のネットバンキングの不正送金に使われている、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)だ。

■クリック厳禁「コンテンツの有効化」

 標準状態のExcelは、マクロを実行しないように設定されており、マクロを含んだファイルを開くと「セキュリティの警告 マクロが無効にされました。」と書かれた黄色のメッセージバーが表示される。メッセージバーの「コンテンツの有効化」 をクリックするとマクロが有効になるが、実行しても安全であることが分かっている場合以外は、絶対にクリックしてはいけない。誤って添付ファイルを開いてしまっても、クリックしなければマクロが実行することはないので、マルウェアに感染せずに済む。

■クリック厳禁「編集を有効化する」

 Excelには、インターネットからダウンロードしたファイルを安全に開く「保護ビュー」という機能が用意されている。Windows用のブラウザやメールソフトの多くは、ネット上からダウンロードしたファイルやメールの添付ファイルに、ネットから取得したファイルであることを示す「ZoneID」という情報を付加する(しないものもある)。この情報がファイルに付加されている場合、Excelは、閲覧以外のほとんどの機能を無効にした保護ビューを使ってファイルを開く。

 添付ファイルにZoneIDが付加されている場合には、前掲の「セキュリティの警告」よりも先に保護ビューが機能し、「保護ビュー 注意-インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、ほぼビューのままにしておくことをお勧めします。」というメッセージバーが表示される。メッセージバーの「編集を有効にする」をクリックすると、保護ビューが解除されるが、安全であることが分かっている場合以外は、絶対にクリックしてはいけない。

■パッチでは解消できないユーザー自身の脆弱性

 システムやアプリは、ユーザーができるだけ安全に利用できるように作られている。セキュリティパッチを適用していれば、ユーザーの介在なしに感染してしまうようなことはそうない。それでもマルウェア感染が止まらないのは、感染するよう仕向ける攻撃者の術中にはまったユーザーが、安全策を解除してしまうからにほかならない。

 それらしい件名に騙されてメールを開き、それらしい文面に騙されて添付ファイルを開くと、ワークシートに「コンテンツの有効化」をクリックするよう書かれている。騙されてクリックしてしまうと、最後のストッパーが外れマルウェア感染が始まってしまう。セキュリティパッチを遅延なく適用していれば、システムやアプリの脆弱性が解消され、知らない間にマルウェアに感染してしまうような事態は避けられるが、騙されて自ら実行してしまうユーザー自身の脆弱性までは解消できない。こちらは、ユーザー自身がスキルを積み、騙されないように注意するほかない。

 Excelファイルを添付したマルウェアメールは、断続的に行われており、今月5日から6日かけても、さまざまな件名のメールがばらまかれている。攻撃が続く可能性もあるので、引き続き警戒していただきたい。

(2017/07/20 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html

【関連記事:セキュリティ通信】
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染
http://security-t.blog.so-net.ne.jp/2017-06-05
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法
http://security-t.blog.so-net.ne.jp/2017-05-26