reynotch

reynotch

-
 昨日お伝えしたExcel、Wordのマクロウイルスに関するニュース、文章では伝わりにくいので実際にサンプルのマクロを作ろうかと思ったのですが、なんとすでにサンプルマクロが含まれているWord文書を公開してくださってる方がいらっしゃいました。
 
セキュリティ研究センターブログ : 脆弱性を突かないエクスプロイト-マクロウィルス再び-
マクロを実行してしまうユーザがいるかどうか、テストをしていただくためのマクロ付きWordファイルを作成しましたので、自社内で試していただくのもよいかもしれません。


 前回のエントリを読んで、「マクロウイルスなんて今さら引っかかるわけない」と感じた方もいらっしゃるかと思いますが、そんな方こそぜひ上記リンク先内にある「マクロ付きWordファイルをダウンロード」をクリックし、Wordファイルをダウンロード後、ファイルを開いてみてもらいたい。

 なお、本エントリ公開時点で同ファイルが無害であることは当方で確認済みですが、それでもインターネット上にあるWord文書なんて信用できないという方(その慎重さは素晴らしいと思います)は以下の私が試した際のキャプチャでご確認ください。また、Microsoft Wordをお持ちでない方も参考にしてください。

 まずは、「マクロ付きWordファイルをダウンロード」をクリックし、Wordファイルをダウンロードします。




 次に、ダウンロードしたファイルをダブルクリックするなどして開きます。すると、以下のように文書が表示されます。特に設定を変更していなければ右上に「編集を有効にする」ボタンが出現します。




 Microsoft Officeではインターネットからダウンロードしたファイルなど安全性が確認できていないファイルを開いたときにPCへの悪影響を最小限に抑えるために制限モードでファイルを開くことができます。この制限モードはデフォルトで有効になっています。これにより、安全性を確保しています。

 このままの状態ですと、制限されているので文書を編集することはできません。編集したい場合は、文書が安全であることを確認したうえで、「編集を有効にする」ボタンをクリックします。
 
 今回のサンプルがよくできているのは、この時、一部の画像が表示されていないかのように見せている点です。実はこれ、画像が表示されていないわけではありません。画像が表示されないときに代わりに表示される「×」のアイコンを画像として貼っています。見た目上は区別がつかないので、画像が表示されていないと勘違いし、つい「編集を有効にする」ボタンをクリックしてしまう人は少なくないでしょう。
 
 では、この「編集を有効にする」ボタンをクリックしてみます。しかし、まだ画像が表示されていないように見えます。また、先ほどと似たようなボタンが表示されています。今度のボタンは「コンテンツの有効化」です。




 「コンテンツの有効化」って意味がわかりづらいですよね。でも、画像が表示されていないように見えるのでついクリックしたくなるのではないでしょうか。一度クリックしたボタンとそっくりですしね。
 
 
 「コンテンツの有効化」ボタンは実は文書内にマクロが含まれていると表示されます。このことを知っていればクリックしないかもしれませんが、画像のトラップや意味が分かりづらい名称であることからついクリックしてしまいがちです。
  
 クリックしてしまったらマクロが実行されます。

 今回の文書はサンプルですので以下のメッセージが表示されるだけで特に悪さはしません。



 しかし、昨日のエントリで紹介した添付ファイルの だったらどうなったでしょう?マクロを有効化してしまうと裏でこっそりマルウェアをダウンロードしてしまうのです。
 
 
 いかがでしょう?
 

 インターネット上ではWordやExcelの文書が公開されていることがよくあります。また、メールの添付ファイルとしてWordやExcelの文書が送られてくることがあります。その多くは安全なものかもしれません。
 
 しかし、中には悪意のあるマクロが含まれている文書があるかもしれません。

 今回のサンプルファイルも最初から開かなければマクロが実行されることはありません。なまじ開いてしまうと、その後の挙動からつい騙されてマクロを有効化してしまい攻撃を受けることになりかねません。
 
 不審なファイルは開かないことが重要です。

関連記事


Excel、Word利用者はご用心! マイクロソフトがマクロ悪用マルウェアの急増を警告! |I believe in technology
 マイクロソフトのブログ「Malware Protection Center」によると、最近、ExcelやWordのマクロを悪用したマルウェアによる攻撃が大幅に増えているとのこと。



Posted by