Excelファイルを悪用したマルウェアが多くなった理由

悪意は便利を奪う

前回では、悪質化が進むメール攻撃について触れました。今回は、このようなメールに添付されているマルウェアについて少しばかり詳しく触れたいと思います。

みなさんは、以下のようなメールを受信されたことはありますか？

いずれも、今年第２四半期に「ばらまき型メール攻撃」により、送付されたメールです。これらは、弊社で確認されたもので当時は注意喚起などもしておりました。

これらのメールに共通してみられる点として添付されているファイルをよくご覧ください。いずれもMicrosoft Excel形式ファイルが添えられています。

このファイルこそ、悪意のあるコードが組み込まれた張本人であり、このファイルに仕組まれたプログラムが実行されることにより感染の一途を辿ってゆくこととなります。

Microsoft Excelは、ご承知の通りマクロ機能というものを使って、その表計算シート内でプログラムを実行させることができる機能です。表計算の自動化などで、このマクロ機能を活用している方も多くいらっしゃるでしょう。

マルウェアにMicrosoft Excel形式の利用が多くなったのはなぜか

2016年に「Locky」と呼ばれるランサムウェアの被害が国内でも多く確認されました。

この時に攻撃として多用されたのはメールであり、そのメールの添付ファイルを開くとランサムウェアに感染する仕組みとなっていました。(詳細については、第1回ランサムウェアの入口となる「jsファイル」の罠にて触れていますので、ご覧ください)

また、添付ファイルのマルウェアは、JavaScriptファイル形式で開発されたものが多くを占めていました。

2017年に入ると、各企業でも対策が進み、主に直接プログラムとして実行しうる形式(exe、bat、vbs、jsなど)をメールでやりとりするのを禁止にする、もしくはファイル転送サービスやファイル無害化サービスの利用へ移行するなどによって、直接これらのファイル形式に限定された被害相当は減少しているものと見ています。

代表的なものではGoogle社が提供するメールサービスGmailでは、2017年2月13日からJavaScript形式(.js)ファイルの添付を禁止にすることで対策を講じています。

このように実際のファイル形式の変化について、今年2月に筆者が登壇したセミナーでも次のようにお話ししました。

このグラフでは、2015年下期以降四半期ごとのESET製品による国内で検出したマルウェアがどのプログラム言語が使われたのか、もしくはどのファイル形式が用いられたのかを分類し傾向を表したものになります。

これで見る限り2016年は大変多くのマルウェアがJavaScript言語を用いた傾向があるといえる、ひとつの参考材料になるかと思います。しかしながら、2年半全体で見てみると、現在はJavaScript言語のものは減少傾向にあり、その代わり「VBA(Visual Basic for Applications)」「VBS(VBScript)」で書かれたVisual Basic言語で実行されるプログラムコードからの検出がかなり多くなってきています。

このVisual Basic言語こそ、Microsoft Excelなどの組み込むマクロ機能の実行に使用されている言語となります。

そして、この機能を利用した代表的なものが冒頭でご紹介した偽の「請求書」になります。

実際にメールに添付されたMicrosoft Excel形式ファイルを開くと、次のイメージのように日本語で請求書と書かれたシートが表示されます。そして、シート上に書かれている「コンテンツの有効化」をクリックしてください。とあります。このコンテンツの有効化をクリックしてしまうと、マクロ機能が実行されてしまいます。

実際にこのシートに組み込まれているコードを開発エディタで開いたのが、次のイメージです。コーディングにはVisual Basicが使われており、なおかつ、このコード自身がセキュリティ製品で検知出来なくさせるためにコードは難読化されています。

ここでいう難読化については第3回で触れたものと目的や対策は同じと捉えていただいて結構です。

スクリプト言語が多用される傾向から注意すべきこと

2017年下半期に注目すると、それ以前と比較してさまざまなスクリプト言語を利用したマルウェアが見つかっていることがグラフから確認できます。

これも多様な理由があると思いますが、ここでひとつ共通して言えることは、「普段みなさんがプライベートないし業務で使っているファイル形式にスクリプト言語を駆使して組み込んでいた」事例が多く確認されたということです。

つまり、普段から使用しているファイルこそ思わぬ脅威が潜んでいる可能性もあるわけで、かつそのファイルの使用を禁止することも簡単にできないわけです。裏を返せばそれが攻撃者のねらい目でもあり、今後気づけないまま感染してしまうことも考えられます。

先日、IPA サイバー情報共有イニシアティブ(J-CSIP)より「悪意のあるCSVファイル」からの感染例としてレポートが出ていました。こちらでは国内組織を狙う標的型攻撃として取り上げており、CSVファイルをMicrosoft Excelで開いてしまうと感染してしまうケースが説明されています。

CSVファイルの構造をご存じの方ほど「そんなことありえるの？」と感じると思います。しかしながら、これが事実として国内での被害がすでに出ているのです。

このように普段使用している正規のアプリケーションと、そのアプリケーションに関連付けられたファイル(形式)を悪用し狙われるケースが多くなってきています。この理由のひとつとして、先ほどのグラフで2015年第3四半期を見ると、これまでのマルウェアといえば、直接実行するWin32プログラム(アプリケーション)の形でばらまかれることが主体でした。

それに対抗してさまざまなセキュリティ対策が進んできたことで、それらの対策から如何にして突破するかのひとつの方法として「正規のアプリケーション」を介してマルウェアに感染させることが主流となってきているといえます。

こうなってきますと、従来からホワイトリスト方式による許可されたアプリケーションのみ使用できる環境を用意しても突破されてしまう可能性もあるわけです。したがって、EDR製品・ソリューションに代表される感染してしまった後の対応の方が、現在のサイバー攻撃に対してはより重要な対策として見るべき時期に突入したととらえて今後検討していくべきと思います。