サイバー攻撃

マクロウイルスとは?感染経路、感染時の対応方法を徹底解説

Emotet

マクロウイルスは、スパムメールに添付されたWordファイルなどに埋め込まれた「マクロ」と呼ばれる簡易プログラムを悪用したコンピュータウイルスのことを指します。

マクロウイルスは、ウイルス対策ソフトで検知されにくいため、被害拡大を最小限にとどめ、マクロウイルスがどのようなものか知ることが重要です。

この記事では、マクロウイルスの特徴や有効な対策、さらには感染してしまった場合の対処法を徹底解説します。

マクロウイルスとは

ExcelやWordなどの文書ファイルでは「マクロ」機能を利用することができます。マクロとは、ファイルをプログラムで処理する仕組みで、主に「文字の検索や置換を一括処理する」「グラフを作成する」「書式を変更する」といった処理を自動化する機能です。

この機能自体を悪用し、ファイルを不正なものに書き換えるものが、マクロウイルスです。これはメールに添付された文書ファイル1を開くことで感染します例えば、文書ファイルを開くと「文字化けを解消するため、マクロ機能を有効にしてください」と表示させるのも手口の一つです。

もしマクロ機能を有効化すると、パソコン上のファイルに対して不正な動作を行われ、情報漏えいやスパムメールの踏み台など、ありとあらゆる被害がもたらされてしまいます。

長年、猛威を振るっている悪名高いマルウェア「Emotet(エモテット)」「Trickbot(トリックボット)」も、このマクロ機能を悪用したものです。

マクロウイルスに有効な対策

まずは「感染しない」ということが重要です。次の4点には日頃から気を付けましょう。

  • 安易に添付ファイルを開かない
  • マクロを有効化しない
  • OSやソフトウェアのアップデートを行う
  • セキュリティソフトを導入する

安易に添付ファイルを開かない

マクロウイルスは、メールの添付ファイルから感染します。知らないアドレスからだと警戒もできますが、このウイルスは感染端末のメール履歴から、スパムメールを自動生成して送付するため、信頼できる人と勘違いし、誤クリックするケースも多く報告されています。

マクロウイルスに感染しないためにも、メールに添付されるファイルを安易に開かないように注意しましょう。

怪しいファイルはマクロを有効化しない

現在のOffice系ソフトは、手動で許可をしない限り、マクロは有効化されません。これはマクロを悪用したケースが多かったため、有効化するかは本人の選択に任せてあるからです。その一例として、文書ファイルを開いた際に「コンテンツの有効化」「編集を有効にする」といった表示が出るケースがあります。

このような指示に従って、むやみやたらにマクロ機能を有効化させてしまうと、ウイルスに感染してしまいますので、不用意にマクロを有効化にしないように注意が必要です

Trickbot

OSやソフトウェアのアップデートを行う

アップデートは時間が掛かったり、すべてのソフトウェアを閉じなければいけなかったりと、面倒くさいことを理由に、なかなかアップデートしないという方もいらっしゃるかもしれません。しかし、サイバー攻撃は、常にOSやソフトウェアの脆弱性をついてきます。

またOSのアップデートは、機能面の追加や修正だけでなく、新しいマルウェアへのセキュリティ対策も含まれます。アップデートは日常的に行うようにしましょう

セキュリティソフトを導入する

セキュリティソフトはマクロウイルスも監視対象としているため、不審なメールが届いた時点で検知・削除を行います。しかし、これは、セキュリティソフトが常にアップデートされており、最新の状態に保っているからこそ有効な対策となります。OSやソフトウェアと同様に最新の状態に保つことを忘れないようにしてください。

また、セキュリティソフトをすり抜ける、ステルス型のマクロウイルスも念頭におきましょう。仮に自分自身でマクロを有効化してしまえば、ウイルスをブロックすることは不可能です。セキュリティの水際対策と出口対策は、ともに怠らないように注意しましょう。

マクロウイルス感染時の対処方法

マクロウイルスに感染してしまうと、次のような症状を引き起こします。

  • 「別のマルウェア感染を目的とした脆弱性を残す」
  • 「データ破壊、データ窃取」
  • 「他のパソコンへの感染拡大」

また、ランサムウェアに感染してデータを暗号化した上で、その解除と引き換えに身代金を脅迫する手口も報告されています。

ここでは、マクロウイルス感染時の対処方法を紹介します。

ネットワークから遮断する

マクロウイルスに感染した場合、まず端末をネットワークから遮断しましょう。マルウェアは一つの端末だけでなく、同じネットワークに接続している全ての端末を暗号化することもあるため、最悪の場合、企業が稼働停止に追い込まれることもあります。

被害を拡大させないためにも、感染端末を全てのネットワークから遮断・隔離しましょう。またこの時、端末と接続されているメディアもすべて取り外すことをおすすめします。

身代金は支払わない

マクロウイルスは、ランサムウェアという身代金要求型ウイルスへの二次感染を誘導します。多くのケースでは、マクロウイルスそのものより、マクロウイルスによって引き寄せられてきた、一連のマルウェア群の方がはるかに凶悪ということも珍しくありません。

もしランサムウェアに感染してしまうと、端末上のデータが暗号化され、暗号化データの解除を引き換えに、高額な身代金を脅迫し、さらにデータを公開されたくなければ、金を払え」と二重脅迫するケースも目立ちます。

当然、身代金を支払ったとしてもデータが帰ってくる保証はありません。また、ランサムウェア集団に身代金を支払うと反社会勢力への資金提供繋がってしまいます。

なお、身代金を支払った企業のうち、8割が再攻撃を受けたという報告もあります2。これは攻撃者に「Too Easy(簡単すぎる)」と思われてしまった為でした。身代金を支払っても、その場しのぎの対応にしかならないため、支払わないようにしてください

専門業者に依頼する

マクロウイルスの感染が発覚した場合、ウイルス感染調査に対応した業者に相談することをお勧めします。業者では次のような調査を行うことができます。

  • マクロウイルス感染の有無
  • 情報漏えいやハッキングの有無
  • 感染経路や被害規模
  • 暗号化されたデータの復号

また企業や法人などの場合、ファスト・フォレンジックで感染端末を特定することで、感染拡大や二次被害の予防にもつながります

専門業者で調査するメリット

①専門エンジニアの詳細な調査結果が得られる

フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでウイルス感染の有無を調査できるため、社内や個人で調べるよりも正確に被害の実態を確認することができます。

また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。

②セキュリティの脆弱性を発見し対策できる

フォレンジック調査では、ウイルス感染の経路や被害の程度を明らかにし、現在のセキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。

また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。

マクロウイルスに感染した場合の調査方法

マクロ起動後、感染が疑われる場合、情報漏えいが生じている可能性があるほか、後続の攻撃者のための勝手口(バックドア)がネットワーク上に開けられている恐れがあります。

今後のセキュリティー対策やコンプライアンスの観点から、情報漏えいの有無や感染経路を突き止めるのは、必要不可欠です。

しかし、社内調査の過程で、システム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされてしまい、調査が困難になる恐れがあります。

そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック」の専門業者に相談・依頼する必要があります。

「フォレンジック調査」とは、デジタル機器から不正にかかわる情報を抽出する手法です。サイバー攻撃が行われた経路/マルウェアの感染経路/情報流出の有無を調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。

フォレンジック調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、ケースによってはデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

\24時間365日 相談受付/

マクロウイルスに感染した場合はDDFへ

デジタルデータフォレンジックでは、国内売上トップクラスのデータ復旧技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

共通CTA