マクロウイルスは、マクロ機能を悪用する文書に埋め込まれた悪意のあるコードです。本ガイドでは、マクロウイルスの動作方法、そのリスク、および予防策について解説します。
安全な文書処理とユーザーの意識向上の重要性について学びましょう。マクロウイルスを理解することは、この持続的な脅威からシステムを保護するために不可欠です。
マクロがセキュリティリスクとなる理由とは?
マクロは、システム上で悪意のあるコードを実行するために利用される可能性があるため、セキュリティリスクとなり得ます。マクロウイルスの場合、悪意のあるコードはマクロ内に埋め込まれており、感染した文書やテンプレートが開かれた際に起動します。これにより、ウイルスはユーザーの知識や同意なしにコードを実行でき、データの破損や盗難など様々な損害を引き起こす可能性があります。さらに、攻撃者はマクロを利用してセキュリティ制御を迂回し、システムやネットワークへの不正アクセスを得ることもできます。信頼できるソースからのマクロのみを有効にし、信頼できるアンチウイルスプログラムを使用してシステムを定期的にスキャンすることが重要な理由です。マルウェアを定期的にスキャンすることが重要です。
マクロウイルスの特徴とは?
マクロウイルスの特性はウイルスによって異なりますが、多くのマクロウイルスに共通する特徴があります。主な特徴は以下の通りです:
- Microsoft Officeなどの生産性アプリケーションで使用されるVisual Basic for Applications(VBA)マクロ言語で記述されている。
- 通常、ユーザー間で共有される感染した文書やテンプレートを通じて拡散します。
- ユーザーが感染ファイルを開いた際に活性化され、ウイルスが悪意のあるコードを実行します。
- 単純な迷惑行為から、データ破損や窃取といった深刻な結果に至るまで、様々な種類の損害を引き起こす可能性があります。
- 正当なマクロ内に埋め込まれるため検出が困難であり、システムに感染した後は除去が難しい場合があります。
マクロウイルス感染の兆候とは
マクロウイルス感染の兆候は、特定のウイルスによって異なりますが、システムが感染している可能性を示す一般的な兆候がいくつかあります。主な症状は以下の通りです:
- 感染したアプリケーションの異常動作(クラッシュやフリーズなど)。
- システム上に異常なファイルやフォルダが出現する。
- ユーザーの知識や同意なしにシステム設定や構成が変更される。
- 応答時間の遅延や全体的な速度低下など、システムパフォーマンスの低下。
- 外部からのシステムまたはネットワークへの不正アクセス。
- 画面に異常または予期しないメッセージや警告が表示される。
- システム上に異常なファイルやフォルダが出現する。
システムがマクロウイルスに感染している疑いがある場合は、信頼できるマルウェア対策プログラムを使用して直ちにフルシステムスキャンを実行し、IT管理者に連絡することが重要です。感染が確認された場合は、ウイルス対策プログラムの指示に従ってウイルスを除去し、システムを正常な状態に復元することが重要です。
マクロは自動的に実行されることがありますか?
はい、特定の状況下ではマクロが自動的に実行されることがあります。ほとんどの場合、マクロを実行するにはユーザーによる有効化が必要です。しかし、一部のマクロウイルスは、感染した文書やテンプレートが開かれた際に、ユーザーの知識や同意なしに自動的に実行されるように設計されています。これがマクロウイルスが非常に危険な理由の一つであり、ユーザーの認識なしに悪意のあるコードを実行できるからです。この種の脅威から身を守るには、信頼できるソースからのマクロのみを有効にし、信頼できるアンチウイルスプログラムで定期的にシステムをマルウェアスキャンすることが重要です。
マクロはランサムウェアに感染する可能性がありますか?
セキュリティ侵害の具体的な原因を特定することは困難です。なぜなら、セキュリティ侵害には多くの潜在的な要因が存在するからです。マクロウイルスはランサムウェア感染を拡散する手段として利用される可能性があります。ランサムウェアとは、被害者のファイルを暗号化し、復号化の見返りとして身代金の支払いを要求するマルウェアです。マクロウイルスは、文書やテンプレート内のマクロに悪意のあるコードを埋め込むことで、ランサムウェアのペイロードを配信することがあります。ユーザーが感染ファイルを開くと、マクロウイルスが起動し、ランサムウェアを実行して被害者のファイルを暗号化します。その後、被害者には身代金要求が表示されます。通常、画面上のメッセージや感染システムの通知領域での通知という形式です。身代金を支払ってもファイルが復元できる保証はない点に注意が必要です。ランサムウェア感染を防ぐ最善策は、強力なセキュリティ対策の実施と重要データの定期的なバックアップです。
Macはマクロウイルスに感染しますか?
はい、Macもマクロウイルスに感染する可能性があります。マクロウイルスは特定のOSに限定されず、ウイルスが記述されているマクロ言語を実行できるデバイスであれば感染する可能性があります。Macの場合、AppleScriptなどMacで使用可能な言語で書かれたマクロウイルスであれば、Macも感染する可能性があります。Macユーザーはマクロウイルスによる潜在的な脅威を認識し、信頼できるソースからのマクロのみを有効にする、信頼できるアンチウイルスプログラムで定期的にマルウェアをスキャンするなどの対策を講じることが重要です。
Macを標的としたマクロウイルスの実例をいくつか紹介します:
OSX.BadWordは、Microsoft Word for Macのサンドボックス脱出を悪用し、Meterpreterペイロードを配信する脅威です。Windows向けの類似したWordベースの攻撃と同様に、VBAマクロを利用してコードを実行し、ユーザーを感染させます。OSX.BadWordは、暗号通貨プラットフォームQuidaxのスタッフ宛てに送信された電子メールを介して配布され、「BitCoin Magazine UK」への寄稿を促す内容となっています。
2018年、北朝鮮関連のAPTグループラザラスは仮想通貨取引所を積極的に標的にしていた。3月には、macOSバックドアのドロッパーとして使用される武器化されたWord文書が研究者によって発見された。韓国語で書かれたこの文書は、韓国企業や仮想通貨取引所企業を標的としたキャンペーンで使用された複数の文書の一つであった。
2019年には、Lazarus APTが毒入りWord文書でMacユーザーを標的に。
Linuxはマクロウイルスに感染する可能性があるか?
理論上、Linuxはマクロウイルスに感染する可能性があります。マクロウイルスは特定のOSに限定されず、ウイルスが記述されたマクロ言語を実行可能なあらゆるデバイスに感染する可能性があります。Linuxは一般的に他のOSより安全でマルウェアの標的となる頻度も低いと考えられていますが、マクロウイルスを含むあらゆる種類の脅威に対して免疫があるわけではありません。Linux専用のマクロ言語やJavaのようなクロスプラットフォーム言語など、Linux上で使用可能な言語で書かれたマクロウイルスが存在する場合、Linuxシステムは感染する可能性があります。この脅威から身を守るためには、信頼できるソースからのマクロのみを有効にすることや、信頼できるアンチウイルスプログラムによる定期的なマルウェアスキャンなど、適切なセキュリティ対策を講じる必要があります。
マクロウイルスの例とは?
マクロウイルスの例として、1999年に初めて発見されたメリッサウイルスが挙げられます。メリッサウイルスはVisual Basic for Applications(VBA)マクロ言語で記述され、感染したMicrosoft Word文書を通じて拡散しました。ユーザーが感染文書を開くと、ウイルスはコードを実行し、被害者のOutlookアドレス帳の最初の50件の連絡先に感染メールを送信して自己複製しました。メリッサウイルスは数千台のコンピュータに急速に拡散し、メールサーバーを過負荷状態に陥らせるなど、深刻な混乱を引き起こしました。これは広範なメールワームの先駆けの一つと見なされている。メリッサウイルスはマクロウイルスの例ではあるが、新たなマクロウイルスは絶えず作成されており、個々のウイルスの特性や挙動は大きく異なる可能性がある点に留意すべきである。
SentinelOneはマクロウイルスを検出できますか?
マクロ感染を利用する脅威アクターやサイバー犯罪組織の最近の事例には以下が含まれる:
- Lockyランサムウェア:この種のランサムウェア はマクロマルウェアを使用して被害者のファイルを暗号化し、復号化のための身代金支払いを要求します。
- Dridex: このバンキング型トロイの木馬はマクロマルウェアを利用し、被害者のシステムから機密性の高い金融情報を窃取します。
- Emotet:この種のマルウェアは、マクロを埋め込んだ電子メールの添付ファイルを使用して被害者のシステムに感染し、機密情報を盗みます。
- Ursnif: これはマクロマルウェアを使用して、被害者のシステムからログイン認証情報やその他の機密情報を盗むバンキング型トロイの木馬です。
- Adwind:この種のマルウェアは、マクロを埋め込んだ文書を利用して被害者のシステムに感染し、機密情報を窃取します。
これらはマクロマルウェアの一例に過ぎません。他にも多くの種類が存在し、攻撃者によって新たな亜種が絶えず開発されています。
脅威インテリジェンスの強化Office文書にはマクロウイルス以外のマルウェアが含まれる可能性はありますか?
はい、Office文書にはマクロウイルス以外のマルウェアが含まれる可能性があります。マクロウイルスは一般的な脅威ですが、Office文書に埋め込まれるマルウェアはそれだけではありません。トロイの木馬、ワーム、ランサムウェアなどの他の種類のマルウェアもOffice文書内に隠され、ユーザーがファイルを開いた際に起動される可能性があります。場合によっては、マルウェアはマクロ言語で記述されておらず、代わりに他の方法でコードを実行する可能性があります。例えば、マルウェアはOfficeアプリケーション自体やオペレーティングシステムの脆弱性を悪用し、ユーザーの知識や同意なしにコードを実行することがあります。ユーザーはこうした脅威を認識し、信頼できるソースからのOffice文書のみを開く、信頼できるアンチウイルスプログラムで定期的にマルウェアスキャンを実行するなど、自己防衛策を講じることが重要です。
この動画では、検出専用モードに設定されたSentinelOneエージェントが、マクロを使用しないWordベースのマルウェア攻撃を検知する様子を確認できます。この文書には2つの埋め込みOLEオブジェクトが含まれており、それぞれにJScriptが記述され、cmdコマンドを実行してPowerShellを起動し、マルウェアを実行します。
マクロマルウェアから身を守るには?
エンドユーザーとしてマクロマルウェアから身を守るには、以下の対策が有効です:
- メールの添付ファイルを開く際は、特に送信元が不明な場合に注意してください。
- 信頼できる送信元で、マクロが安全であると確認できる場合を除き、文書内のマクロを有効にしないでください。
- オペレーティングシステムとソフトウェアを最新のセキュリティパッチで更新してください。
- 信頼できるアンチウイルスまたはアンチマルウェアプログラムを使用し、常に最新の状態に保ってください。
- インターネットからファイルをダウンロードする際は注意し、信頼できるソースからのみダウンロードしてください。
CISO、またはIT管理者として、組織をマクロマルウェアから守るために実施できる対策がいくつかあります:
- ローカルのマクロウイルスを検出できるアンチマルウェアを導入する。悪意のあるコードは、検知を逃れるためにネットワーク通信を無効化して悪意のある活動を完了させることがあります。
- 従業員に対し、マクロマルウェアのリスクについて教育し、メール添付ファイルの開封や文書内マクロの有効化時には注意を払うよう周知徹底する。
- フィッシングメールやその他のマルウェアを含むメッセージを検知・遮断する堅牢なメールセキュリティシステムを導入する。
- 文書内でのマクロ使用を制限するポリシーを作成・徹底するか、マクロ使用前に全てを審査・承認することを義務付けるポリシーを作成・徹底する。
- 全てのオペレーティングシステムとソフトウェアを最新のセキュリティパッチで更新し、信頼できるアンチウイルス・アンチマルウェアプログラムを使用してマルウェアから保護する。
- 定期的なセキュリティ監査とペネトレーションテストを実施し、組織の防御体制における脆弱性や弱点を特定する。
結論
セキュリティ上の懸念から、マイクロソフトがマクロ機能を廃止する可能性は低いと考えられます。マクロはタスクの自動化や生産性向上に有用なツールであり、様々なアプリケーションで広く利用されています。マクロにはマクロウイルスやその他のマルウェアの潜在的な脅威など、特定のセキュリティリスクが伴いますが、ベストプラクティスに従い適切なセキュリティ対策を実施することで、これらのリスクは軽減可能です。
SentinelOneのSingularity™ Platformは、セキュリティ専門家が現代の脅威を機械並みの速度で積極的に解決することを支援します。Singularityは自律型AI駆動サイバーセキュリティという未来像を、今日の現実へと変えます。 SentinelOneがお客様のSOCユーザーエンドポイント、ハイブリッドクラウドワークロード、IoTなどにおけるリスク管理をより効果的に行う方法については、こちらからお問い合わせください。貴社の環境に合わせた対話を始めましょう。
マクロウイルスに関するよくある質問
マクロウイルスとは、Microsoft WordやExcelなどのソフトウェアアプリケーションで使用されるマクロ言語で記述されたコンピュータウイルスです。これらのウイルスは、文書、スプレッドシート、その他のデータファイルに関連付けられたマクロに自身のコードを追加します。オペレーティングシステムではなくアプリケーションを標的とするため、Windows、macOS、Linux を実行しているあらゆるコンピュータに感染する可能性があります。
感染した文書を開くと、マクロウイルスが起動し、システム上の他のファイルに拡散する可能性があります。
最も有名なマクロウイルスは1999年3月に出現したメリッサです。被害者のOutlookアドレス帳の最初の50件の連絡先に自身のコピーを送信しました。もう一つの有名な例は、1995年7月に初めて出現し、マイクロソフトが誤ってCD-ROMに収録して出荷してしまったコンセプトウイルスです。
これらのウイルスは数百万ドルの損害をもたらし、マクロベースの攻撃がいかに危険であるかを実証する一助となりました。
マクロウイルスは、感染した文書を開いたり閉じたりする際に拡散します。通常、電子メールの添付ファイル、CD-ROM、またはインターネットからダウンロードしたファイルを介して侵入します。一度活性化すると、ウイルスは通常のマクロを悪意のあるマクロに置き換え、文書が開かれると自動的に実行されます。
また、共有ネットワーク、感染したリムーバブルディスク、ユーザー間でファイルを共有する際にも拡散します。ウイルスは文書テンプレートに自身を埋め込み、新規作成されるすべての文書を感染させます。
はい、マクロウイルスは非常に有害です。新しいファイルの作成、データの破損、テキストの移動、ファイル送信、ハードドライブのフォーマット、画像の挿入などを行います。機密情報を盗むように設計されたものや、追加のマルウェアをインストールするものもあります。
また、メールアカウントにアクセスして感染ファイルを連絡先全員に自動送信し、ウイルスを拡散させることもあります。軽微な迷惑行為に留まるものもあれば、システムやデータに重大な損害を与えるものもあります。
コンピュータがマクロウイルスに感染している場合、いくつかの警告サインに気づくでしょう。コンピュータの動作が通常より遅くなり、通常はパスワードを必要としないファイルに対してパスワードの入力を求められるようになります。文書が通常のファイルではなくテンプレートファイルとして保存される場合があります。また、自分が送信したと思われる奇妙なメールについて同僚から苦情を受けることもあります。
その他の症状としては、文書を開いたり保存したりする際に異常なエラーメッセージが表示されたり、予期しない動作が発生したりすることが挙げられます。
ノートン、アバスト、AVGなどのアンチウイルスソフトでマクロウイルスを除去できます。フルシステムスキャンを実行し、感染ファイルを検出・削除してください。手動での除去を希望する場合は、セーフモードで起動し、ウイルススキャナーで不審なファイルを特定します。新しいマクロウイルスに対応するため、アンチウイルスソフトは定期的に更新してください。また、文書内の感染したマクロを確認し、再感染を防ぐために無効化してください。
マクロウイルスを防ぐ最善策は、Microsoft Officeアプリケーションでマクロをデフォルトで無効にすることです。マクロ実行前に許可を求めるセキュリティ設定を有効にしてください。信頼できるウイルス対策ソフトウェアを使用し、定期的に更新してください。送信元不明のメール添付ファイルを開かないでください。また、インターネットからファイルをダウンロードする際には注意してください。
文書を開く前に、デジタル署名を使用してその真正性を確認することも推奨されます。
