マカフィーは1月15日、マクロマルウェアによる攻撃の回数が過去6年間で最高水準に達したとセキュリティブログで明かした。

最新のMcAfee Labs脅威レポートによれば、マクロによるインシデントは昨年1年間で4倍に増加しており、マクロを頻繁に使用する大規模組織のユーザーを標的にしているという。

マクロマルウェアの推移(年間)

マクロマルウェアは、Microsoft Office文書などのマクロ機能を悪用して不正なプログラムを実行するマルウェアで、ユーザーが文書を開いた時などに自動でマクロを実行する。多くのケースで、ファイルがメールに添付されて送られてくる。

効果的にマルウェアを配布する方法として1990年台に多く利用されたが、サーバ側やメールソフト側のセキュリティ対策機能が強化されたことで、使われる機会が大幅に減った。マクロマルウェア付きのメールを受信すると、メールソフトは「セキュリティの警告:この文書にはマクロが含まれています」などと利用者に注意喚起する。

終息に向かったマクロマルウェアであったが、最近になって攻撃に使われる機会が増えている。例えば、ソーシャルエンジニアリングの手法としての活用だ。攻撃者は、メールを入念に作り込み、一見本物に見えるようなメールを送り付けてメールを開封させる。

本物に見せるための工夫として、件名には支払請求、配達通知、履歴書、売上送付状、寄付のお願いといった語句が含まれることが多い。本文には、添付ファイルを開かせるように、一見して正式な署名やロゴなど、件名に合わせた内容となっている、

受信が添付ファイルを開くと、Microsoft Officeのセキュリティ機能の確認画面が現れる。ここで受信者が「有効にする」を選んだ場合に、悪意のあるコードが実行され、システム内にマルウェアペイロードが組み込まれる。

また、ソーシャルエンジニアリングだけでなく、マクロマルウェアが以前より高度化しており、セキュリティソフトによる検出が困難になっているという。マルウェアの作者は、ジャンクコードの追加や暗号化された複雑な文字列の記述など、検出を防ぐためのさまざまな技法を組み込んでいるほか、悪意のあるURLのブロックを防ぐために複雑なパターンにしている。

さらに言えば、実行難易度が低いのも増加の理由に挙げられる。マクロマルウェアは最低限の技術があれば利用できるのだ。

マカフィーは、マクロマルウェアの防御策としてOSとアプリケーションを最新の状態に保ち、Microsoft Office製品のマクロ セキュリティ設定を「高」にすることを推奨している。また、メール・アプリケーションが添付ファイルを自動で開かないように設定するのも有効としている。