お問い合わせ
マクロウイルスは、スパムメールに添付されたWordファイルなどに埋め込まれた「マクロ」と呼ばれる簡易プログラムを悪用したコンピュータウイルスのことを指します。
マクロウイルスは、ウイルス対策ソフトで検知されにくいため、被害拡大を最小限にとどめ、マクロウイルスがどのようなものか知ることが重要です。
この記事では、マクロウイルスの特徴や有効な対策、さらには感染してしまった場合の対処法を徹底解説します。
目次
マクロウイルスとは
ExcelやWordなどの文書ファイルでは「マクロ」機能を利用することができます。マクロとは、ファイルをプログラムで処理する仕組みで、主に「文字の検索や置換を一括処理する」「グラフを作成する」「書式を変更する」といった処理を自動化する機能です。
この機能自体を悪用し、ファイルを不正なものに書き換えるものが、マクロウイルスです。
もしマクロ機能を有効化すると、パソコン上のファイルに対して不正な動作を行われ、情報漏えいやスパムメールの踏み台など、ありとあらゆる被害がもたらされてしまいます。
長年、猛威を振るっている悪名高いマルウェア「Emotet(エモテット)「Trickbot(トリックボット)」も、このマクロ機能を悪用したものです。下記は各マルウェアについて解説しているものです。ご覧ください。
マクロウイルスの感染経路
マクロウイルスの感染経路は主にメールの添付ファイルですが、その他にも、ダウンロードしたファイル、またはファイル共有ソフトに潜んでいることもあるため、自分以外が作成したofficeファイル全般には注意すべきといっても過言ではありません。
例えば、文書ファイルを開くと「文字化けを解消するため、マクロ機能を有効にしてください」と表示させるのも手口の一つです。
マクロウイルスに有効な対策
マクロウイルスに有効な対策は以下の4つです。
安易に添付ファイルを開かない
マクロウイルスは、メールの添付ファイルから感染します。知らないアドレスからだと警戒もできますが、このウイルスは感染端末のメール履歴から、スパムメールを自動生成して送付するため、信頼できる人と勘違いし、誤クリックするケースも多く報告されています。
マクロウイルスに感染しないためにも、メールに添付されるファイルを安易に開かないように注意しましょう。
怪しいファイルはマクロを有効化しない
現在のOffice系ソフトは、手動で許可をしない限り、マクロは有効化されません。これはマクロを悪用したケースが多かったため、有効化するかは本人の選択に任せてあるからです。その一例として、文書ファイルを開いた際に「コンテンツの有効化」「編集を有効にする」といった表示が出るケースがあります。
このような指示に従って、むやみやたらにマクロ機能を有効化させてしまうと、ウイルスに感染してしまいますので、不用意にマクロを有効化にしないように注意が必要です。
OSやソフトウェアのアップデートを行う
アップデートは時間が掛かったり、すべてのソフトウェアを閉じなければいけなかったりと、面倒くさいことを理由に、なかなかアップデートしないという方もいらっしゃるかもしれません。しかし、サイバー攻撃は、常にOSやソフトウェアの脆弱性をついてきます。
またOSのアップデートは、機能面の追加や修正だけでなく、新しいマルウェアへのセキュリティ対策も含まれます。アップデートは日常的に行うようにしましょう。
セキュリティソフトを導入する
セキュリティソフトはマクロウイルスも監視対象としているため、不審なメールが届いた時点で検知・削除を行います。しかし、これは、セキュリティソフトが常にアップデートされており、最新の状態に保っているからこそ有効な対策となります。OSやソフトウェアと同様に最新の状態に保つことを忘れないようにしてください。
また、セキュリティソフトをすり抜ける、ステルス型のマクロウイルスも念頭におきましょう。仮に自分自身でマクロを有効化してしまえば、ウイルスをブロックすることは不可能です。セキュリティの水際対策と出口対策は、ともに怠らないように注意しましょう。
もし、感染対策していたのにも関わらず感染してしまった場合には、フォレンジック調査する必要があります。
マクロウイルス感染時の対処方法
マクロウイルスに感染してしまうと、次のような症状を引き起こします。
- 「別のマルウェア感染を目的とした脆弱性を残す」
- 「データ破壊、データ窃取」
- 「他のパソコンへの感染拡大」
また、ランサムウェアに感染してデータを暗号化した上で、その解除と引き換えに身代金を脅迫する手口も報告されています。
ここでは、マクロウイルス感染時の対処方法を紹介します。
ネットワークから遮断する
マクロウイルスに感染した場合、まず端末をネットワークから遮断しましょう。マルウェアは一つの端末だけでなく、同じネットワークに接続している全ての端末を暗号化することもあるため、最悪の場合、企業が稼働停止に追い込まれることもあります。
被害を拡大させないためにも、感染端末を全てのネットワークから遮断・隔離しましょう。またこの時、端末と接続されているメディアもすべて取り外すことをおすすめします。
身代金は支払わない
マクロウイルスは、ランサムウェアという身代金要求型ウイルスへの二次感染を誘導します。多くのケースでは、マクロウイルスそのものより、マクロウイルスによって引き寄せられてきた、一連のマルウェア群の方がはるかに凶悪ということも珍しくありません。
もしランサムウェアに感染してしまうと、端末上のデータが暗号化され、暗号化データの解除を引き換えに、高額な身代金を脅迫し、さらに「データを公開されたくなければ、金を払え」と二重脅迫するケースも目立ちます。
当然、身代金を支払ったとしてもデータが帰ってくる保証はありません。また、ランサムウェア集団に身代金を支払うと反社会勢力への資金提供に繋がってしまいます。
なお、身代金を支払った企業のうち、8割が再攻撃を受けたという報告もあります1。これは攻撃者に「Too Easy(簡単すぎる)」と思われてしまった為でした。身代金を支払っても、その場しのぎの対応にしかならないため、支払わないようにしてください。
専門業者に依頼する
マクロウイルスの感染が発覚した場合、ウイルス感染調査に対応した業者に相談することをお勧めします。業者では次のような調査を行うことができます。
- マクロウイルス感染の有無
- 情報漏えいやハッキングの有無
- 感染経路や被害規模
- 暗号化されたデータの復号
また企業や法人などの場合、ファスト・フォレンジックで感染端末を特定することで、感染拡大や二次被害の予防にもつながります。
専門業者で調査するメリット
①専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでウイルス感染の有無を調査できるため、社内や個人で調べるよりも正確に被害の実態を確認することができます。
また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。
②セキュリティの脆弱性を発見し対策できる
フォレンジック調査では、ウイルス感染の経路や被害の程度を明らかにし、現在のセキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。
また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。
マクロウイルスに感染した場合の調査方法
マクロ起動後、感染が疑われる場合、情報漏えいが生じている可能性があるほか、後続の攻撃者のための勝手口(バックドア)がネットワーク上に開けられている恐れがあります。
今後のセキュリティー対策やコンプライアンスの観点から、情報漏えいの有無や感染経路を突き止めるのは、必要不可欠です。
しかし、社内調査の過程で、システム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされてしまい、調査が困難になる恐れがあります。
そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック」の専門業者に相談・依頼する必要があります。
「フォレンジック調査」とは、デジタル機器から不正にかかわる情報を抽出する手法です。サイバー攻撃が行われた経路/マルウェアの感染経路/情報流出の有無を調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。
フォレンジック調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジック調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
法人様は最短30分でWeb打ち合せ(無料)を設定
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
