マクロウイルスは、スパムメールに添付されたWordファイルなどに埋め込まれた「マクロ」と呼ばれる簡易プログラムを悪用したコンピュータウイルスのことを指します。

マクロウイルスは、ウイルス対策ソフトで検知されにくいため、被害拡大を最小限にとどめ、マクロウイルスがどのようなものか知ることが重要です。

この記事では、マクロウイルスの特徴や有効な対策、さらには感染してしまった場合の対処法を徹底解説します。

マクロウイルスとは

ExcelやWordなどの文書ファイルでは「マクロ」機能を利用することができます。マクロとは、ファイルをプログラムで処理する仕組みで、主に「文字の検索や置換を一括処理する」「グラフを作成する」「書式を変更する」といった処理を自動化する機能です。

この機能自体を悪用し、ファイルを不正なものに書き換えるものが、マクロウイルスです。

もしマクロ機能を有効化すると、パソコン上のファイルに対して不正な動作を行われ、情報漏えいやスパムメールの踏み台など、ありとあらゆる被害がもたらされてしまいます。

長年、猛威を振るっている悪名高いマルウェア「Emotet（エモテット）「Trickbot（トリックボット）」も、このマクロ機能を悪用したものです。下記は各マルウェアについて解説しているものです。ご覧ください。

エモテット（Emotet）とは？ 攻撃手口や感染時の確認・対応方法を解説エモテット（Emotet）は、非常に高い感染力・拡散力を持つマルウェアです。2014年に発見されて以降、その形を変え続け、現在も猛威を振...

マルウェア「Trickbot」とは？その特徴や感染時の対処方法について徹底解説昨今、トロイの木馬型のマルウェア「Trickbot」（別名：TrickLoader、Trickster）による被害が相次いでいます。 ...

マクロウイルスの感染経路

マクロウイルスの感染経路は主にメールの添付ファイルですが、その他にも、ダウンロードしたファイル、またはファイル共有ソフトに潜んでいることもあるため、自分以外が作成したofficeファイル全般には注意すべきといっても過言ではありません。

例えば、文書ファイルを開くと「文字化けを解消するため、マクロ機能を有効にしてください」と表示させるのも手口の一つです。

マクロウイルスに有効な対策

マクロウイルスに有効な対策は以下の4つです。

安易に添付ファイルを開かない

マクロウイルスは、メールの添付ファイルから感染します。知らないアドレスからだと警戒もできますが、このウイルスは感染端末のメール履歴から、スパムメールを自動生成して送付するため、信頼できる人と勘違いし、誤クリックするケースも多く報告されています。

マクロウイルスに感染しないためにも、メールに添付されるファイルを安易に開かないように注意しましょう。

怪しいファイルはマクロを有効化しない

現在のOffice系ソフトは、手動で許可をしない限り、マクロは有効化されません。これはマクロを悪用したケースが多かったため、有効化するかは本人の選択に任せてあるからです。その一例として、文書ファイルを開いた際に「コンテンツの有効化」「編集を有効にする」といった表示が出るケースがあります。

このような指示に従って、むやみやたらにマクロ機能を有効化させてしまうと、ウイルスに感染してしまいますので、不用意にマクロを有効化にしないように注意が必要です。

OSやソフトウェアのアップデートを行う

アップデートは時間が掛かったり、すべてのソフトウェアを閉じなければいけなかったりと、面倒くさいことを理由に、なかなかアップデートしないという方もいらっしゃるかもしれません。しかし、サイバー攻撃は、常にOSやソフトウェアの脆弱性をついてきます。

またOSのアップデートは、機能面の追加や修正だけでなく、新しいマルウェアへのセキュリティ対策も含まれます。アップデートは日常的に行うようにしましょう。

セキュリティソフトを導入する

セキュリティソフトはマクロウイルスも監視対象としているため、不審なメールが届いた時点で検知・削除を行います。しかし、これは、セキュリティソフトが常にアップデートされており、最新の状態に保っているからこそ有効な対策となります。OSやソフトウェアと同様に最新の状態に保つことを忘れないようにしてください。

また、セキュリティソフトをすり抜ける、ステルス型のマクロウイルスも念頭におきましょう。仮に自分自身でマクロを有効化してしまえば、ウイルスをブロックすることは不可能です。セキュリティの水際対策と出口対策は、ともに怠らないように注意しましょう。

もし、感染対策していたのにも関わらず感染してしまった場合には、フォレンジック調査する必要があります。

マクロウイルス感染時の対処方法

マクロウイルスに感染してしまうと、次のような症状を引き起こします。

• 「別のマルウェア感染を目的とした脆弱性を残す」
• 「データ破壊、データ窃取」
• 「他のパソコンへの感染拡大」

また、ランサムウェアに感染してデータを暗号化した上で、その解除と引き換えに身代金を脅迫する手口も報告されています。

ここでは、マクロウイルス感染時の対処方法を紹介します。

ネットワークから遮断する

マクロウイルスに感染した場合、まず端末をネットワークから遮断しましょう。マルウェアは一つの端末だけでなく、同じネットワークに接続している全ての端末を暗号化することもあるため、最悪の場合、企業が稼働停止に追い込まれることもあります。

被害を拡大させないためにも、感染端末を全てのネットワークから遮断・隔離しましょう。またこの時、端末と接続されているメディアもすべて取り外すことをおすすめします。

身代金は支払わない

マクロウイルスは、ランサムウェアという身代金要求型ウイルスへの二次感染を誘導します。多くのケースでは、マクロウイルスそのものより、マクロウイルスによって引き寄せられてきた、一連のマルウェア群の方がはるかに凶悪ということも珍しくありません。

もしランサムウェアに感染してしまうと、端末上のデータが暗号化され、暗号化データの解除を引き換えに、高額な身代金を脅迫し、さらに「データを公開されたくなければ、金を払え」と二重脅迫するケースも目立ちます。

当然、身代金を支払ったとしてもデータが帰ってくる保証はありません。また、ランサムウェア集団に身代金を支払うと反社会勢力への資金提供に繋がってしまいます。

なお、身代金を支払った企業のうち、8割が再攻撃を受けたという報告もあります¹。これは攻撃者に「Too Easy（簡単すぎる）」と思われてしまった為でした。身代金を支払っても、その場しのぎの対応にしかならないため、支払わないようにしてください。

専門業者に依頼する

マクロウイルスの感染が発覚した場合、ウイルス感染調査に対応した業者に相談することをお勧めします。業者では次のような調査を行うことができます。

また企業や法人などの場合、ファスト・フォレンジックで感染端末を特定することで、感染拡大や二次被害の予防にもつながります。

専門業者で調査するメリット

①専門エンジニアの詳細な調査結果が得られる

フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでウイルス感染の有無を調査できるため、社内や個人で調べるよりも正確に被害の実態を確認することができます。

また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。

②セキュリティの脆弱性を発見し対策できる

フォレンジック調査では、ウイルス感染の経路や被害の程度を明らかにし、現在のセキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。

また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。

マクロウイルスに感染した場合の調査方法

マクロ起動後、感染が疑われる場合、情報漏えいが生じている可能性があるほか、後続の攻撃者のための勝手口（バックドア）がネットワーク上に開けられている恐れがあります。

今後のセキュリティー対策やコンプライアンスの観点から、情報漏えいの有無や感染経路を突き止めるのは、必要不可欠です。

しかし、社内調査の過程で、システム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされてしまい、調査が困難になる恐れがあります。

そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック」の専門業者に相談・依頼する必要があります。

「フォレンジック調査」とは、デジタル機器から不正にかかわる情報を抽出する手法です。サイバー攻撃が行われた経路／マルウェアの感染経路／情報流出の有無を調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。