トレンドマイクロは3月27日、1月にマイクロソフトが注意喚起したMicrosoft WordおよびExcelの不正なマクロが、現在でも増加していることをセキュリティブログで明かした。

マクロ自体は、WordやExcelの文書作成において、コマンドやコードによって作業を自動化するもの。不正なマクロの多くは、自動実行の機能を悪用し、別の不正なプログラムを勝手にダウンロードしたり、利用者に実行を促したりする。

スパムメールで不正なマクロを配布

今回確認されたケースは、航空会社の「Air Canada」の電子航空券を装い、メールに不正なマクロが添付するというもので、情報窃取型不正プログラムのダウンローダーだ。

攻撃の仕組みは、感染したPCにバッチファイル(拡張子:bat)や VBScript(拡張子:vbs)、PowerShell Script(拡張子:ps1)を作成する。これにより、より深刻な被害をもたらす新たなファイルをダウンロードする。

さらに、OSをコントロールし、Microsoftが開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」の機能を悪用する。Windows PowerShellは、2月にオンライン銀行詐欺ツール「VAWTRAK」が関連した攻撃で利用されている。

Air Canadaを装った電子航空券。不正なマクロが組み込まれた文書ファイルが添付されている

Microsoft Word 2010で開封すると、マクロ機能を有効にするよう指示がで出る

スパムメール経由でオンラインバンキングが狙われる

トレンドマイクロでは、今回のスパムメール送信活動で拡散された不正なマクロだけでなく、多くの不正プラグラムがスパムメールで配布されると指摘している。

不正なマクロの例で言うなら、添付ファイルはこれまで「DOC」「DOCM」「XLS」が主流であったが、それに加えて「XLSM」が増加し猛威をふるっている。

マクロを利用した最近のスパムメールの攻撃では、拡張子「XLSM」のファイルが利用されている

さらに、オンライン銀行詐欺ツール「ROVNIX」、「VAWTRAK」、「DRIDEX」、「NEUREVT」(別名:Beta Bot)といった不正プログラムの誘導を促す不正プラグラムも増える傾向があるという。

スパムメールの全体数に対する不正なマクロを利用する不正プログラムと「UPATRE」に関連するスパムメールの割合