初回投稿 2015年9月5日
最終更新 2019年9月1日

心を操るマクロウイルス実例5つ 症状と対策でxls/doc/docmファイルが危険

イメージ 12

ウイルス感染経路はほぼ100% Eメール です!

迷惑メール(スパムメール) の添付ファイル として受け取る場面が多い マクロウイルス の脅威にユーザーさんがガッツリ対抗するため、マクロウイルスの感染手口と被害を防ぐ無料ウイルス対策を紹介しましょう。

そもそもマクロウイルスとは? 実体は Office ファイル

そもそもマクロウイルスとはナニ?

マイクロソフト提供のオフィス製品 Microsoft Office に標準で実装されている Visual Basic for Applications(ビジュアルベーシック for アプリケーション、通称 VBA) の機能を悪用する不正なファイルをマクロウイルスと言います。

特に、Microsoft Office ファイルの2つの形式に、不正な攻撃処理を仕込んでおく手口が定番です。

  1. ファイルの拡張子 … .doc あるいは .docm
    ファイルを開く → 文書作成ソフト Microsoft Word (ワード)

  2. ファイルの拡張子 … .xls あるいは .xlsm
    ファイルを開く → 表計算ソフト Microsoft Excel (エクセル)

なお、Microsoft Office がインストールされてない Windows 環境は、マクロウイルスの影響はないことになります。


ウイルスメールの内容は…

マクロウイルス付きの迷惑メール(スパムメール)のテーマは?

Windows ユーザーさんを騙して、不正な Office ファイルを開いてもらうことが必須なので、通常でもやり取りされうる通知メールやビジネスメールを装うことで、確認したい衝動の赴くままメールの添付ファイルについ手が伸びる仕掛けです。ます。

  • 金銭の支払いネタ
    └ 請求書/インボイス (invoice/payment)
    └ 領収書 (receipt)

  • FAX やコピー複合機のデータ受信

  • 運送会社を名乗って荷物の配達通知

無効になっているマクロを許可させる攻撃手口

実は、Microsoft Office の生みの親であるマイクロソフトは、マクロウイルスの脅威に対抗して先手を打っています。

Windows ユーザーさんがマクロを含む Office ファイルを開いたとしても、マクロの動作は処理されないようブロックされる仕組みになっていて、Microsoft Office のウィンドウ上部にセキュリティ警告の通知バーが表示されます。

~ Word や Excel に表示される通知バー ~



ユーザーの心を操りマクロを許可させる

マクロウイルスを使った攻撃を成功裏に収めるには、ユーザーを騙してマクロの動作を許可するよう仕向けなくてはなりません

攻撃者はマクロを許可させる理由をデッチ上げたダマシのメッセージやイメージ画像が表示される不正な Office ファイルを投入し、マクロを許可するよう仕向けてきます。

New Macro Malware Uses Fake Google Enterprise Support Email - Cyren
https://www.cyren.com/blog/articles/new-macro-malware-uses-fake-google-enterprise-support-email


《1》 イメージ画像にボカシをかけてます?

画像データの領域に ”ボカシ” がかかっていて内容が読み取れず、この状態を解除するためと称してマクロを許可するよう誘ってます。

イメージ 2
THIS DOCUMENT HAS BEEN SET TO BE BLUR DUE TO SECURITY REASON AND FOR YOUR SAFETY KINDLY CLICK OPTION/ENABLE CONTENT ABOVE TO VIEW PROPER DOCUMENT
(意味 → この文書は安全を目的としたセキュリティ上の理由でボカシをかけました 文書を正常に表示するには上部の[コンテンツの有効化]オプションをクリックしてください)

《2》 文字化けを解消します?

文章がメチャクチャな文字列で表示されており記載内容が分からず、この ”文字化け現象” を解消するためと称してマクロを許可するよう誘ってます。

イメージ 3
If you document have incorrect encoding - enable macro
(意味 → 文書を正常にエンコードするにはマクロを有効化してください)
イメージ 8
RSA Encrypted Message
This file is secured with RSA key. Please enable content to view the document
(意味 → RSA暗号化メッセージ このファイルはRSA鍵で保護されてます。文書を表示するにはコンテンツを有効化してください)

《3》 文書が保護されてます?

セキュリティ上の理由で ”保護された文書” になっており、この状態を解除する方法と称してマクロを有効化させる手順が書かれてあります。

イメージ 6

イメージ 11

イメージ 10

イメージ 13

イメージ 9
This Document is protected!
PROTECTED DOCUMENT
This file is protected by Microsoft Office.
Please enable Editing and Content to see this document.
CAN'T VIEW THE DOCUMENT? FOLLOW THE STEPS BELLOW.
1. Open the document in Microsoft Office. Previwing online does not work for protected documents.
2. If you downloaded this document from email, please click "Enable Editing" from the yellow bar above.
3. Once you have enabled editing, please click "Enable Content" on the yellow bar above.
This document created in ealier version of Microsoft Office Word
To view this content, please click Enable editing at the top yellow bar, and then click Enable content
保護された文書
このファイルはMicrosoft Officeにより保護されてます。この文書を参照するには編集とコンテンツを有効化してください。
文章が表示されない? 以下の手順に従ってください
1. Microsoft Officeで文書を開いてください。オンライン上のプレビュー表示では保護された文書が機能しません。
2. メールからこの文書をダウンロードしたら、上の黄色いバーにある[編集を有効にする]をクリックしてください。
3. 編集を有効にしたら、上の黄色いバーにある[コンテンツの有効化]をクリックしてください。

ウソの名目でマクロを許可する方法を親切に図入りで解説すると、中には疑うことなく律儀に指示に従う Windows ユーザーさんが確実に存在する、と攻撃者は分かってるようです。

イメージ 1

Attention! To view this document, please turn on the Edit mode and Macroses!
To display the centenst of the document click on Enable Content button.
(意味 → 注意! この文書を閲覧するには編集モードとマクロを有効化してください。文書の内容を表示するには[コンテンツの有効化]ボタンをクリックします。)

《4》 エラーが発生しました?

(ウソの警告メッセージだけど)”エラーが発生した” と称してマクロを許可するよう誘ってます。

イメージ 5
Open document
An error occurred while preparing to display the contents. Please enable macros in order to correctly view the contents of the document.
(意味 → 文書を開く 内容を表示してる途中でエラーが発生しました。文書の内容を正しく表示するためマクロを有効化してください)

《5》 言語の壁も関係なし… 日本語も

特定地域のユーザーを狙ったマクロウイルスの事例として、英語ではなくスペイン語でマクロを許可するよう画像付きで指示してます。

イメージ 4
PARA VISUALIZAR EL CONTENIDO ABRELO DIRECTAMENTE DESDE MICROSOFT WORD:
(意味 → 内容を表示するため以下のように Microsoft Word で直接開いてください)

マクロウイルスは決して ”対岸の火事” ではありません。 

日本も含む世界中の Windows をターゲットに、ネットバンキング不正送金ウイルスやトロイの木馬に感染させる攻撃キャンペーンで、英語や日本語の誘導メッセージを含んだマクロウイルスが投入されています。







マクロウイルス対策で100%感染被害防止

マクロウイルスの攻撃で ”人の心を操る” 策略にハマると…?

本来は無効になってるマクロが Windows ユーザーの意思で有効化されてしまうので、攻撃処理は確実に発動します。 セキュリティソフト に頼りきってはダメ!




そこで、マクロウイルスの攻撃を100%確実に阻止する 無料ウイルス対策 をやっておくのがオススメです。 <お金がかからないウイルス対策♪

関連するブログ記事