初回投稿 2015年7月11日
最終更新 2019年5月5日

マクロウイルスとは メール感染0%対策2つとxls/doc/docm拡張子が危険!

マクロウイルスとは? 迷惑メール添付のOfficeファイル.doc/.docm/.xls拡張子と感染被害を防止する無料ウイルス対策

マクロウイルス は、今から15年以上前に流行っていたウイルス感染攻撃手法の1つです。

~ 世界初のマクロウイルス ~
1995年 確認

ただ、英語の 迷惑メール(スパムメール) にマクロウイルスのファイルを添付して、不特定多数にバラ撒く攻撃キャンペーンが、2014年あたりから広く確認されるようになりました。

オンライン銀行詐欺ツール「DRIDEX」、文書ファイルに埋め込まれた不正なマクロ経由で感染 - トレンドマイクロ
http://blog.trendmicro.co.jp/archives/10238

複合機の通知を偽装したメールがマクロ型不正プログラムを頒布、日本でも被害 - トレンドマイクロ
http://blog.trendmicro.co.jp/archives/11776

何ともありがたくない…
マクロウイルスという脅威の 復活 です!

日本も感染ターゲット! マクロウイルスは対岸の火事ではない

このマクロウイルスの手口は日本も例外ではありません。

イメージ 3


日本を狙ったウイルスメール攻撃例

2015年あたりから、日本国内にある Windows パソコンをターゲットに、ネットバンキング不正送金やクレジットカード不正利用の被害で暗躍するウイルスの感染を意図した 日本語の迷惑メール(スパムメール) が確認されています。

  • Ursnif / Dreambot / Gozi ウイルス
    (読み方 アースニフ、ドリームボット、ゴジ)

  • Shiotob / Bebloh ウイルス
    (読み方 シオトブ、べブロー)

  • Shifu /Shiz ウイルス

このウイルスメール攻撃は2019年になっても継続していて、添付ファイルとして採用されている1つがマクロウイルスです。



2019年、東京都の医療センターに勤める医師のメールアカウントが不正アクセスされて、その医師に成りすました日本語のウイルスメールが都の関係者宛てに送信される事件がありました。

現時点で確認されている多摩北部医療センター職員を名乗る不審メールの特徴(令和元年5月24日現在).pdf
添付ファイルはワード文書
→ マクロウイルスが添付されている
(出典 多摩北部医療センターPDFファイル)

この攻撃は Emotet マルウェア の感染被害が原因となっていて、そのウイルス感染に至る最初のキッカケがマクロウイルス付きで無差別にバラ撒かれる迷惑メールです。



マクロウイルスとは? ファイルの拡張子2パターン

そもそもマクロウイルスとは?

Windows 向けのオフィスソフト Microsoft Office …

  1. 文書作成ソフト
    Microsoft Word (ワード)

  2. 表計算ソフト
    Microsoft Excel (エクセル)

このソフトウェアに標準で実装されている Visual Basic for Applications(通称 VBA) という機能を悪用して、不正な攻撃処理を行わせる Microsoft Office ファイルをマクロウイルスと呼んでいます。

マクロとセキュリティ上のリスクについて
マクロは頻繁に使用するタスクを自動化します。その多くは、Visual Basic for Applications (VBA) を使用して、ソフトウェア開発者によって作成されます。
ただし、マクロの中には、セキュリティ上の問題を引き起こす可能性があるものもあります。悪意のあるユーザーがドキュメントまたはファイルに破壊的なマクロを導入し、コンピューターをウイルスに感染させる可能性があります。 (Microsoft Office のサポートページから引用)

ちなみに、マクロの動作に対応する Microsoft Office が存在しない環境は、マクロウイルスの影響を受けません。

Android スマホ
iOS (iPhone、iPad)
ガラケー

また、Microsoft Office の互換となるオフィスソフトや、ブラウザ上で動作する Office Online は、Visual Basic for Applications をサポートしておらずマクロウイルスの影響を受けません。

OpenOffice
LibreOffice
Microsoft Office Online


マクロウイルスの拡張子は?

マクロウイルスとなり得るファイルの形式は?

Windows ユーザーさんが特に注意を払うべき危険な ファイルの拡張子 は、次の2つの形式です。

  1. 拡張子 .doc … Word 文書
    拡張子 .docm … マクロが含まれることを拡張子で示す Word 文書

  2. 拡張子 .xls … Excel ファイル
    拡張子 .xlsm … マクロが含まれることを拡張子で示す Excel ファイル

マクロウイルスは、ファイルの拡張子を偽装する必要性もなく、ユーザー間でやり取りされる Word ファイルExcel ファイル まんまなところが厄介です。

イメージ 1
マクロ感染型ウイルス 実物画像

  • 『不審なファイルを開くな!』
    けっこう無謀な要求で、ユーザーさんがパッと見でマクロウイルスを見極めるのはムリ
    平凡な作業 ”内容を確認する” ために Office ファイルを無警戒に開くのが現実

  • 文書ファイルだから安全という勘違いも?
    マクロウイルスの危険性の認識が薄い Windows ユーザーさんはけっこういるハズ
    ユーザーさんの ”知識” が更新されておらず、マクロウイルスは過去のお話という誤解

  • ウイルスメール対策のフィルタリングが困難
    通常でもやり取りさうるファイルの形式として Word ファイル と Excel ファイルは弾けない

これは Windows プログラムである 実行ファイル(拡張子 .exe)スクリーンセーバー(拡張子 .scr) に対処するのとはワケが違います。


マクロを含まない Office ファイル

なお、ファイルの拡張子で .docx と .xlsx は、VBA マクロの処理が含まれていないことを明示した形式です。 <100%確実にマクロウイルスではない!

ただ、このファイル形式すら、確実に安全と言いきれないから困りモノだけど…。

  • Microsoft Office の旧バージョンに存在する脆弱性を悪用する攻撃手口あり
    Microsoft Office の更新プログラムの適用で100%影響なし

  • 文書ファイル内に、不正なスクリプトファイル、不正なショートカット、DOS ファイルを埋め込んで、これを Windows ユーザーさんにダブルクリックで開かせるウイルス感染手口あり

マクロウイルスの役割と対策

イメージ 2

復活したマクロウイルスの役割は?

  1. ダウンローダー
    外部ネットワークに接続 → 実行ファイルなどをダウンロード → Windows PC 上でコッソリ起動させる

  2. ドロッパー
    Word ファイルや Excel ファイルの内部に埋め込まれた不正な実行ファイルやスクリプトを Windows PC 上にコッソリ投下して起動する

なお、復活したマクロウイルスに次の脅威は存在しないので、そんなマクロウイルスの情報を見かけたらば、15年近く前の昔に書かれた古い記事のはずで無視してください。

  • Microsoft Word や Microsoft Excel そのものが正常に動作しなくなる

  • 元からある Office ファイルのテンプレートを改ざんする

  • ワームのように拡散して他の Windows PC に影響を与える

  • もともと安全な Office ファイルが不正なファイルに変貌してマクロウイルスになる


マイクロソフトのマクロウイルス対策は?

ただ、Microsoft Office の生みの親であるマイクロソフトもマクロウイルスに黙ってません。

1999年発売の Microsoft Office 2000 から、マクロウイルス対策が標準で実装されて(結果的にマクロウイルスが廃れた)、Word ファイルや Excel ファイルを単に開くだけで攻撃をモロに喰らうことはなくなりました。 

【マクロウイルスを使う攻撃手口の例】
無視できず目に留まる メール を受信する
(金銭の支払い請求書、荷物の配達通知とか装うのが定番)
 ↓

メールに添付されてる Office ファイルを開く
メール本文中のリンクからダウンロードした Office ファイルを開く
 ↓

Microsoft Word / Excel が起動して、Office ファイルが読み込まれる
 ↓

マクロが含まれてることを警告してユーザーに判断を仰ぐ
(マクロを許可するようユーザーの心を操る手口も)
 ↓

ユーザーがうっかりマクロを許可することで攻撃処理が華麗に走り、ネットバンキングウイルス、ランサムウェア、バックドアなどの感染に繋がる

マイクロソフトが投入するマクロウイルスの対策は?

それは Microsoft Word や Microsoft Excel のウィンドウ画面上部に 警告する通知バー を表示して、ユーザーに判断をキッチリ仰ぐ仕組みです。

イメージ 1
セキュリティの警告 コンテンツの有効化

それでも、マクロウイルスが投入される?

つまり、わざわざ目に見えて警告を行っても、警告される理由や意味が分からない Windows ユーザーさんが必ず存在し、警告を完全無視して、脊髄反射で [コンテンツの有効化] ボタンをポチッとな♪ <ぎょぇー

  • 警告もムナしくマクロウイルスの攻撃をモロに喰らって自爆する
      有効な手口としてマクロウイルスが流行る理由 → 人間の脆弱性

  • マクロのコードを難読化して新鮮なマクロウイルス亜種を無限作成できる
      セキュリティ製品のウイルス定義データで対応が後手に回る ”イタチごっこ”

  • マイクロソフトによる正当な製品 Microsoft Office を悪用する
      セキュリティソフトを迂回されてマクロウイルスはスリ抜けやすい

攻撃者にとって、マクロウイルスは ”一石三鳥” にもなるワケです。


マクロを許可すると? マクロウイルスの症状は?

手元の Windows 環境で、マクロウイスル(ワード文書)のマクロを故意に許可した直後の Windows のプロセスの様子がコチラ♪ <ウイルス感染の瞬間!

イメージ 6
マクロを許可すると…
ナゾの実行ファイルがシレッと起動した瞬間

マクロウイルスの症状?
マクロウイルスの発病画面?

マクロウイルスの攻撃で目に見える異変があっては、Windows ユーザーさんにバレバレになるだけなので、裏側でいろいろなことがコッソリ行われて ”マクロウイルスの症状” というのは、実はありません。

結局のところ、マクロウイルスの攻撃を実際に喰らうかどうか運命の分かれ目は、(対応が後手に回ることもあるセキュリティソフトの有無ではなく) ユーザー自身の行動に完全に託されている ところが鍵です。

無料! 感染0%を実現するマクロウイルス対策

気合で頑張れ?
セキュリティソフトを導入しろ?

そんなマクロウイルス対策として、次のようなフレーズを巷では目にします。

~ 素人が思いつくマクロウイルス対策 ~
『怪しいメールを開くな!』
『不審な添付ファイルを開くな!』
『許可ボタンを押すなよ! ゼッタイ押すなよ!』

マクロウイルスの代表的な感染経路であるEメールを受信して、”怪しい” とか ”不審” とまったく認識できず、”うっかり” しまくる Windows ユーザーさんが現実に存在する以上はどうしましょ…。 <ヒューマンエラー

恐ろしいマクロウイルスの脅威の紹介に便乗して、何かテキトーにセキュリティソフトをいろいろ宣伝するパターン?

いやいや、効果的な 2つのマクロウイルス対策 をどぞどぞ~。


【1】 セキュリティの設定を変更する ← いちばん簡単

マクロウイルスの対策に 後を追うセキュリティソフトに出る幕なし です。

そもそもマクロウイルスの対策はマイクロソフトが直々に用意してるワケで、そのウイルス対策ネタについて1㍉も触れない情報ページもけっこう多い?

数分で、それもお金が何らかからならないマクロウイルス対策として、Microsoft Word と Microsoft Excel にそれぞれ用意されてる セキュリティセンター の設定でマクロの動作を変更してください。

イメージ 5
マクロウイルス向けのセキュリティ設定

具体的な作業として、それぞれの [オプション] → 左メニューの [セキュリティセンター] → [セキュリティセンター] ボタン → 左メニューの [マクロの設定] でオプションを切り替えます。

警告を表示せずにすべてのマクロを無効にする 【推奨】
警告を表示してすべてのマクロを無効にする 【注意】
● デジタル署名されたマクロを除き、すべてのマクロを無効にする
すべてのマクロを有効にする(推奨しません。危険なコードが実行される可能性が… 【危険】

マクロウイルスの対策として、1番目のオプション [警告を表示せずにすべてのマクロを無効にする] を推奨する理由は?

セキュリティ意識に疎くてマクロウイルスを見抜けない Windows ユーザーさんに対処するため、マクロを許可していいか確認する場面すらなくなり([コンテンツの有効化] ボタンが表示されない)、マクロが完全に無効化される からです。

  • 安全が確認されている自作マクロを含む Word ファイルや Excel ファイルを扱うには?
    → セキュリティセンターの [信頼できる場所] の作業用フォルダーは例外扱い
  

【2】 ファイアウォールを活用する ← 設定作業あるけど効果あり

マクロウイルスの役割の1つがダウンローダーです。

そこで、外部通信を Windows ユーザーさんが制御できる ファイアウォール の活用がマクロウイルス対策として有効です。

具体的に、ファイアウォールの設定で Microsoft Office の実行ファイル winword.exeexcel.exe の外部通信(送信側、アウトバウンド) をあらかじめブロックしておきます。

【Microsoft Word の実行ファイル】
Program Files フォルダー
「Microsoft Office 15\root\office15\WINWORD.EXE」
「Microsoft Office\Office12\WINWORD.EXE」

Microsoft Excel の実行ファイル
Program Files フォルダー
「Microsoft Office 15\root\office15\EXCEL.EXE」
「Microsoft Office\Office12\EXCEL.EXE」

このマクロウイルス対策は、Windows PC に標準で実装されてる Windows ファイアウォール でも対処できます。 <お金もかからず無料

また、マクロウイルスはダウンローダーの処理を正規プログラム PowerShell に投げて悪用する手法が見られるので、実行ファイル powershell.exe の外部通信もファイアウォールでブロックすることを推奨します。





マクロウイルス対策に Office 最新版

マクロウイルスの対策と称して、次のウイルス対策を紹介する変なページをたまに見かけます。

  • Windows Update でセキュリティ更新パッチを適用する

  • Microsoft Office の最新版を使う

これは Windows PC の全般的なセキュリティ対策として間違ってはいないものの、ことマクロウイルスに限れば、まったく無意味なウイルス対策です。

マクロは Microsoft Office に最初から実装されてる標準機能であって、マクロウイルスはその悪用になり、別にセキュリティ上の欠陥(いわゆる脆弱性)を突く手口ではありません。

Microsoft Office や Windows OS が最新版であろうとなかろうと、Microsoft Office がインストールされてある地球上の全 Windows PC がマクロウイルスの感染影響下になります。
 

セキュリティトピックス

セキュリティ製品のマクロウイルス検出名

マクロウイルスのワードファイルやエクセルファイルをセキュリティソフトがどのような名称で検出するか、参考までに…。

ESET イーセット
VBA/TrojanDownloader.Agent VBA/Agent PowerShell/TrojanDownloader.Agent DOC/TrojanDownloader.Agent DOC/Abnormal VBA/DDE
Kaspersky カスペルスキー
Trojan-Downloader.MSWord.Agent Trojan.MSWord.Agent HEUR:Trojan.Script.Agent.gen Trojan-Downloader.MSExcel.Agent HEUR:Trojan-Downloader.Script.Generic HEUR:Trojan.Script.Generic Exploit.MSWord.DDE HEUR:Trojan-Dropper.MSOffice.SDrop.gen HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan-Downloader.MSOffice.SLoad.gen
McAfee マカフィー
W97M/Downloader W97M/Dropper W97M/MacroLess X97M/Downloader
Microsoft マイクロソフト
TrojanDownloader:O97M/Bartallex TrojanDownloader:W97M/Bartallex TrojanDownloader:W97M/Adnel TrojanDownloader:O97M/Donoff TrojanDownloader:W97M/Donoff TrojanDownloader:O97M/Tarbir TrojanDownloader:O97M/Daoyap Exploit:O97M/DDEDownloader Trojan:O97M/PowCript TrojanDownloader:O97M/Dornoe TrojanDownloader:O97M/Vigorf TrojanDownloader:O97M/Graword TrojanDownloader:O97M/Powdow Trojan:O97M/Sonbokli Trojan:O97M/Obfuse Trojan:O97M/Artitex Trojan:O97M/DPLink TrojanDownloader:O97M/Obfuse TrojanDownloader:O97M/Dotraj TrojanDownloader:O97M/Emotet
Symantec シマンテック・ノートン
W97M.Downloader W97M.Downloader!g20 W97M.Downloader!g21 W97M.Downloader!g22 W97M.Downloader Activity W97M.Emotet Downloader Activity W97M.Downloader Download O97M.Downloader Macro Component Trojan.Mdropper ISB.Downloader ISB.Downloader!gen186 ISB.Downloader!gen260 ISB.Downloader!gen334
Trend Micro トレンドマイクロ・ウイルスバスター
X97M_DLOADR W2KM_BARTALEX W97M_MARKER W2KM_DLOADR W2KM_MONALIS W2KM_DOXMAL W2KM_SWIZZOR W2KM_LOCKY X2KM_LOCKY W2KM_CERBER W2KM_URSNIF W2KM_LO W2KM_DL W2KM_HANCITOR HEUR_VBA.O1 HEUR_VBA.O2 W2KM_DLOADER X2KM_POWMET X2KM_POWLOAD W2KM_POWLOAD TROJ_DEDEX X2KM_BEBLOH HEUR_VBA Trojan.W97M.POWLOAD Trojan.W97M.DLOADR Trojan.W97M.DLOADER Trojan.W97M.MALSPAM Trojan.W97M.URSNIF Trojan.W97M.POWRUN Trojan.W97M.QAKBOT Trojan.W97M.REMCOS Trojan.W97M.EMOTET Mal_OLEMAL-4 Trojan.X97M.DEDEX Possible_OLEMAL

☆ 関連ワード忘備録

[マクロウイルス 発病画面] [マクロウイルス 症状] [マクロウイルス 意味] [マクロウイルス 駆除] [マクロウイルス 削除] [マクロウイルス とは] [拡張子 docm] [docm ファイル] [.docm ウイルス] [添付ファイル docm] [ワード docm] [docm 開く] [docm 迷惑メール] [Word docm] [ワード ウイルス感染] [ワード ウイルスチェック] [Word ウイルスチェック] [doc ウイルス] [doc ファイル] [doc 拡張子] [xls 拡張子] [xls ファイル] [xls ウイルス] [エクセル ウイルス 症状] [エクセル ウイルス感染] [エクセル ウイルスチェック方法] [エクセル ウイルスチェック] [Excel ウイルス感染] [Excel ウイルスチェック] …