Threat Spotlight:「マクロの有効化」を利用するフィッシング攻撃

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > Threat Spotlight:「マクロの有効化」を利用するフィッシング攻撃

Threat Spotlight:「マクロの有効化」を利用するフィッシング攻撃
Michael Van Pelt

2017年07月19日

ランサムウェアの恐ろしさはすでに広く知られていたとはいえ、今月起こったWannaCry攻撃は、その影響がいかに甚大なものかを思い知らせる結果となりました。この攻撃は正に驚くべき範囲に及び、世界150か国以上で数十万人のユーザが被害を受けました。セキュリティの観点からは、WannaCryのような攻撃を今後防止したり緩和したりするために教訓を得る必要があります。また、WannaCryが過ぎ去ったことのように思えるとしても、サイバー犯罪者は信じられないほどの創造力を持ち、次の大きな攻撃のために常に新たな企みを模索していることを忘れてはなりません。最近見つかった企みの1つは、電子メールでユーザに「マクロを有効にする」ように求める攻撃です。このような手法は、以前にも利用されたことがあります。

攻撃:

この脅威は、攻撃を開始するために、受信者に「マクロを有効にする」または「コンテンツを有効にする」ように促します。

詳細:

マクロの有効化によるフィッシング攻撃は、受信者の注意を引き付けて最終的に攻撃を開始するために、いくつかの手順と手法を使用します。この例では、攻撃者はまず偽のアドレスを使用して、何らかの権限を持つ機関から送られたかのような電子メールを送信して、受信者を怖がらせます。この電子メールには、Microsoft Officeドキュメントも添付されています。ここで興味深いのは、送信者は返信を要求するのではなく、添付ファイルを開くよう受信者に求める点です。メッセージを重要なものに見せかけるため、送信者のアドレスを権威ある機関のもののように偽造します。

では、この添付ファイルを開くと、どうなるのでしょうか。

ドキュメントが開き、マクロが有効になっていない場合、ドキュメントに「マクロが含まれている」という警告が表示されることがあります。一般的に、マクロは頻繁に実行されるタスクを自動化するために利用されます。しかし、悪意ある人物が攻撃を開始するために文書やファイルに破壊的なマクロを追加することが可能なため、マクロはセキュリティのリスクをもたらします。このため、従業員が自らマクロを有効化できないようにするポリシーをシステム管理者が実装するのは珍しいことではありません。逆に、日常的にOfficeマクロを使用している組織では、ユーザがデフォルトでマクロを有効にすることも可能です。このような状況にあるユーザは、躊躇せずマクロを有効にするようになっています。マクロの詳細は、Microsoft社のサポートページをご覧ください。

ユーザには、次のような「コンテンツの有効化」アラートが表示されます。

添付ファイルが開くと、受信者は「マクロを有効にする」または「コンテンツを有効にする」ように求められますが、いずれの場合も同じ処理を意味しています。通常、これらのドキュメントには、「Auto_Open」または「Document_Open」といったマクロが含まれていますが、どのような名前のものであれ、ドキュメントが開いた後にMicrosoft Officeに自動的にマクロを実行させます。恐ろしいのは、マクロを実行するために、ユーザにはファイルを開く以外の操作が必要ないという点です。このとき、受信者がマクロを有効にしたり、またはMicrosoft Officeの設定でマクロがすでに有効になっていたりすると、悪意あるペイロードが即座に実行されます。Officeのマクロは、それ自体がメインのペイロードである場合も、インターネットのいずれかの場所から実際のペイロードをフェッチするダウンローダにすぎない場合もあります。

ペイロードにはどのような可能性もありますが、最近最も使用されているのは当然ランサムウェアです。ランサムウェアがペイロードに使用された場合、文書が開いた後に悪意あるソフトウェアによってコンピュータ上のすべてのファイルが自動的に暗号化されます。この例は、電子メールを使用してランサムウェア攻撃を開始するのがどれほど簡単かを端的に示しています。そして、WannaCryの攻撃で見られたように、またたく間に状況が悪化する可能性があります。

この攻撃の試みは手法によって異なります。

・フィッシング: 通信を開始するために、攻撃者は偽の送信者アドレスを使用して説得力のある電子メールを送り、添付ファイルを開くようユーザに求めます。

・悪意あるソフトウェア: この場合、添付ファイルが開いた後、またはユーザが自分のマシンでマクロを有効にするとすぐに、攻撃が開始されます。

この脅威を分析する際、背景をさらにチェックするために攻撃者が使用したドメインを調べたところ、ドメインは1月に作成されたものであり、SMTPサーバのIPアドレスの場所はフランスでした。しかし、ドメインのAレコードを調べると、その場所がロシアのサンクトペテルブルグであることがわかりました。つまり、このタイプの攻撃は全世界に拡大していますが、攻撃が実際に開始されている場所は明らかではなく、どこからでも実行される可能性があることを示しています。

ここまで読めば、マクロを有効にすべきかどうか、慎重に考えた方がよいことがおわかりでしょう。

対策:

企業は、攻撃の標的となることを想定し、積極的に対応する必要があります。ここで説明したような攻撃を常に意識するため、定期的な従業員トレーニングを実施することが非常に重要です。従業員トレーニングに加えて、サンドボックスや高度脅威保護のようなセキュリティテクノロジを使用することで、マルウェアを企業メールサーバに到達する前にブロックできます。さらに、Link Protectionによるフィッシング攻撃対策を導入して、悪意あるコードを含むWebサイトへのリンクを見つけることができます。リンクが文書の内容に埋め込まれている場合でも、これらの侵害されたWebサイトへのリンクはブロックされます。


*本内容はBarracuda Product Blog 2017年 5月31日 Threat Spotlight: “Enable Macros” Phishing Attack を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら