ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスの
データベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ニュース概要
-7月28日(日本時間)、メールセキュリティ企業の日本プルーフポイント社より、Officeファイル(Word・Excel等)による攻撃に対するマイクロソフト(以下・MS)の対策とそれに伴う攻撃傾向の変化についての解説が同社ブログで行われています。
-MSではインターネットからダウンロードしたOfficeファイル上でのマクロ実行をデフォルトでブロックする措置を4月から実行しています(7月に一時無効化され、同月には再開するという事態にもなっています)。
-プルーフポイント社の調査では、攻撃者によるマクロ添付ファイルの使用が2021年10月から2022年6月の間に約66%減少しているとのことです。
-一方で、Officeファイルを直接添付するものではなく.lnk(ショートカット)や .dll(ライブラリ)ファイルを含む .zipファイル、さらにそれを格納した .iso(DVD-RやBD-R等のイメージ)ファイルを添付することにより、ブロック措置を回避する攻撃も確認されているとしています。
AUSからの所感
「インターネットからダウンロードした」ことを示すフラグがOfficeファイルに付加されている場合にマクロの実行をブロックするという挙動となっており、今までもメールの文章でファイルに付加されたフラグを解除させることにより、マクロを実行させるよう誘導する手口は多くとられていましたが、前述の.zipや.isoファイルを用いるものは、それらから展開したファイルにはフラグが付加されない場合があることを悪用したものとみられています。
.lnkファイルを用いる手口は、OfficeマクロではなくPowerShellスクリプト等を実行させるもので、例えばEmotetでこの手口がとられています。
くれぐれも「不審なWord・Excelファイルを開いたり、マクロを有効化したりしない限り、マルウェアに感染することはない」といった先入観に囚われず、セキュリティベンダーや団体が提供する情報の収集を随時行い、刻々と変化する攻撃手法について理解しつつ行動することが肝要です。