マクロウイルス は、今から15年以上前に流行っていたウイルス感染攻撃手法の1つです。

～ 世界初のマクロウイルス ～
1995年 確認

ただ、英語の 迷惑メール（スパムメール） にマクロウイルスのファイルを添付して、不特定多数にバラ撒く攻撃キャンペーンが、2014年あたりから広く確認されるようになりました。

マクロウイルスという脅威の 復活 です！

2015年あたりから、日本国内にある Windows パソコンをターゲットに、ネットバンキング不正送金やクレジットカード不正利用の被害で暗躍するウイルスの感染を意図した 日本語の迷惑メール（スパムメール） が確認されています。

• Ursnif / Dreambot / Gozi ウイルス
  （読み方 アースニフ、ドリームボット、ゴジ）
  
  
• Shiotob / Bebloh ウイルス
  （読み方 シオトブ、べブロー）
  
  
• Shifu /Shiz ウイルス

添付ファイルはワード文書
→ マクロウイルスが添付されている
（出典 多摩北部医療センターPDFファイル）

1. 文書作成ソフト
   Microsoft Word （ワード）
   
   
2. 表計算ソフト
   Microsoft Excel （エクセル）
   

ちなみに、マクロの動作に対応する Microsoft Office が存在しない環境は、マクロウイルスの影響を受けません。

☓ Android スマホ
☓ iOS （iPhone、iPad）
☓ ガラケー

また、Microsoft Office の互換となるオフィスソフトや、ブラウザ上で動作する Office Online は、Visual Basic for Applications をサポートしておらずマクロウイルスの影響を受けません。

☓ OpenOffice
☓ LibreOffice
☓ Microsoft Office Online

■ マクロウイルスの拡張子は？

マクロウイルスとなり得るファイルの形式は？

Windows ユーザーさんが特に注意を払うべき危険な ファイルの拡張子 は、次の2つの形式です。

1. 拡張子 .doc … Word 文書
   拡張子 .docm … マクロが含まれることを拡張子で示す Word 文書
   
   
2. 拡張子 .xls … Excel ファイル
   拡張子 .xlsm … マクロが含まれることを拡張子で示す Excel ファイル

マクロウイルスは、ファイルの拡張子を偽装する必要性もなく、ユーザー間でやり取りされる Word ファイル や Excel ファイル まんまなところが厄介です。

マクロ感染型ウイルス 実物画像

• 『不審なファイルを開くな！』
  けっこう無謀な要求で、ユーザーさんがパッと見でマクロウイルスを見極めるのはムリ
  平凡な作業 ”内容を確認する” ために Office ファイルを無警戒に開くのが現実
  
  
• 文書ファイルだから安全という勘違いも？
  マクロウイルスの危険性の認識が薄い Windows ユーザーさんはけっこういるハズ
  ユーザーさんの ”知識” が更新されておらず、マクロウイルスは過去のお話という誤解
  
  
• ウイルスメール対策のフィルタリングが困難
  通常でもやり取りさうるファイルの形式として Word ファイル と Excel ファイルは弾けない
  

これは Windows プログラムである 実行ファイル（拡張子 .exe）、スクリーンセーバー（拡張子 .scr） に対処するのとはワケが違います。

なお、ファイルの拡張子で .docx と .xlsx は、VBA マクロの処理が含まれていないことを明示した形式です。 ＜100％確実にマクロウイルスではない！

ただ、このファイル形式すら、確実に安全と言いきれないから困りモノだけど…。

• Microsoft Office の旧バージョンに存在する脆弱性を悪用する攻撃手口あり
  → Microsoft Office の更新プログラムの適用で100％影響なし
  
  
• 文書ファイル内に、不正なスクリプトファイル、不正なショートカット、DOS ファイルを埋め込んで、これを Windows ユーザーさんにダブルクリックで開かせるウイルス感染手口あり

マクロウイルスの役割と対策

1. ダウンローダー
   外部ネットワークに接続 → 実行ファイルなどをダウンロード → Windows PC 上でコッソリ起動させる
   
   
2. ドロッパー
   Word ファイルや Excel ファイルの内部に埋め込まれた不正な実行ファイルやスクリプトを Windows PC 上にコッソリ投下して起動する

• Microsoft Word や Microsoft Excel そのものが正常に動作しなくなる
  
  
• 元からある Office ファイルのテンプレートを改ざんする
  
  
• ワームのように拡散して他の Windows PC に影響を与える
  
  
• もともと安全な Office ファイルが不正なファイルに変貌してマクロウイルスになる

1999年発売の Microsoft Office 2000 から、マクロウイルス対策が標準で実装されて（結果的にマクロウイルスが廃れた）、Word ファイルや Excel ファイルを単に開くだけで攻撃をモロに喰らうことはなくなりました。 

マイクロソフトが投入するマクロウイルスの対策は？

それは Microsoft Word や Microsoft Excel のウィンドウ画面上部に 警告する通知バー を表示して、ユーザーに判断をキッチリ仰ぐ仕組みです。

セキュリティの警告 コンテンツの有効化

つまり、わざわざ目に見えて警告を行っても、警告される理由や意味が分からない Windows ユーザーさんが必ず存在し、警告を完全無視して、脊髄反射で [コンテンツの有効化] ボタンをポチッとな♪ ＜ぎょぇー

• 警告もムナしくマクロウイルスの攻撃をモロに喰らって自爆する
    有効な手口としてマクロウイルスが流行る理由 → 人間の脆弱性
  
  
• マクロのコードを難読化して新鮮なマクロウイルス亜種を無限作成できる
    セキュリティ製品のウイルス定義データで対応が後手に回る ”イタチごっこ”
  
  
• マイクロソフトによる正当な製品 Microsoft Office を悪用する
    セキュリティソフトを迂回されてマクロウイルスはスリ抜けやすい

攻撃者にとって、マクロウイルスは ”一石三鳥” にもなるワケです。

手元の Windows 環境で、マクロウイスル（ワード文書）のマクロを故意に許可した直後の Windows のプロセスの様子がコチラ♪ ＜ウイルス感染の瞬間！

結局のところ、マクロウイルスの攻撃を実際に喰らうかどうか運命の分かれ目は、（対応が後手に回ることもあるセキュリティソフトの有無ではなく） ユーザー自身の行動に完全に託されている ところが鍵です。

マクロウイルスの代表的な感染経路であるEメールを受信して、”怪しい” とか ”不審” とまったく認識できず、”うっかり” しまくる Windows ユーザーさんが現実に存在する以上はどうしましょ…。 ＜ヒューマンエラー

 
激安価格な中古ノートパソコン

いやいや、効果的な 2つのマクロウイルス対策 をどぞどぞ～。

数分で、それもお金が何らかからならないマクロウイルス対策として、Microsoft Word と Microsoft Excel にそれぞれ用意されてる セキュリティセンター / トラストセンター の設定でマクロの動作を変更してください。

マクロウイルス向けのセキュリティ設定

具体的な作業として、それぞれの [オプション] → 左メニューの [セキュリティセンター]（トラストセンター） → [セキュリティセンター]（トラストセンター） ボタン → 左メニューの [マクロの設定] でオプションを切り替えます。

【Microsoft Word の実行ファイル】
Program Files フォルダー
「Microsoft Office 15\root\office15\WINWORD.EXE」
「Microsoft Office\Office12\WINWORD.EXE」

【Microsoft Excel の実行ファイル】

Program Files フォルダー
「Microsoft Office 15\root\office15\EXCEL.EXE」
「Microsoft Office\Office12\EXCEL.EXE」

このマクロウイルス対策は、Windows PC に標準で実装されてる Windows ファイアウォール でも対処できます。 ＜お金もかからず無料

また、マクロウイルスはダウンローダーの処理を正規プログラム PowerShell に投げて悪用する手法が見られるので、実行ファイル powershell.exe の外部通信もファイアウォールでブロックすることを推奨します。

→ ファイアウォールでウイルス感染防ぐ設定 無料でセキュリティ対策強化

• Windows Update でセキュリティ更新パッチを適用する
  
  
• Microsoft Office の最新版を使う

これは Windows PC の全般的なセキュリティ対策として間違ってはいないものの、ことマクロウイルスに限れば、まったく無意味なウイルス対策です。

マクロは Microsoft Office に最初から実装されてる標準機能であって、マクロウイルスはその悪用になり、別にセキュリティ上の欠陥（いわゆる脆弱性）を突く手口ではありません。

Microsoft Office や Windows OS が最新版であろうとなかろうと、Microsoft Office がインストールされてある地球上の全 Windows PC がマクロウイルスの感染影響下になります。

 

セキュリティトピックス

Kaspersky カスペルスキー
Trojan-Downloader.MSWord.Agent Trojan.MSWord.Agent HEUR:Trojan.Script.Agent.gen Trojan-Downloader.MSExcel.Agent HEUR:Trojan-Downloader.Script.Generic HEUR:Trojan.Script.Generic Exploit.MSWord.DDE HEUR:Trojan-Dropper.MSOffice.SDrop.gen HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan-Downloader.MSOffice.SLoad.gen

Microsoft マイクロソフト
TrojanDownloader:O97M/Bartallex TrojanDownloader:W97M/Bartallex TrojanDownloader:W97M/Adnel TrojanDownloader:O97M/Donoff TrojanDownloader:W97M/Donoff TrojanDownloader:O97M/Tarbir TrojanDownloader:O97M/Daoyap Exploit:O97M/DDEDownloader Trojan:O97M/PowCript TrojanDownloader:O97M/Dornoe TrojanDownloader:O97M/Vigorf TrojanDownloader:O97M/Graword TrojanDownloader:O97M/Powdow Trojan:O97M/Sonbokli Trojan:O97M/Obfuse Trojan:O97M/Artitex Trojan:O97M/DPLink TrojanDownloader:O97M/Obfuse TrojanDownloader:O97M/Dotraj TrojanDownloader:O97M/Emotet

Trend Micro トレンドマイクロ・ウイルスバスター
X97M_DLOADR W2KM_BARTALEX W97M_MARKER W2KM_DLOADR W2KM_MONALIS W2KM_DOXMAL W2KM_SWIZZOR W2KM_LOCKY X2KM_LOCKY W2KM_CERBER W2KM_URSNIF W2KM_LO W2KM_DL W2KM_HANCITOR HEUR_VBA.O1 HEUR_VBA.O2 W2KM_DLOADER X2KM_POWMET X2KM_POWLOAD W2KM_POWLOAD TROJ_DEDEX X2KM_BEBLOH HEUR_VBA Trojan.W97M.POWLOAD Trojan.W97M.DLOADR Trojan.W97M.DLOADER Trojan.W97M.MALSPAM Trojan.W97M.URSNIF Trojan.W97M.POWRUN Trojan.W97M.QAKBOT Trojan.W97M.REMCOS Trojan.W97M.EMOTET Mal_OLEMAL-4 Trojan.X97M.DEDEX Possible_OLEMAL

タグ ：

Windows