FOLLOW US

  • twitter
  • facebook

EVENT | 2018/08/15

マクロを無効化してもOffice文書にウイルス感染させる手法や、検知するための実行ファイルがないファイルレス・マルウェアなど、ますます巧妙化するウイルス/マルウェア。効果的な対策はあるのだろうか。

Photo By Shutterstock
文:伊藤僑
攻撃者とのイタチごっこが続くウイルス対策
抗生物質の効かな...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

文:伊藤僑

攻撃者とのイタチごっこが続くウイルス対策

抗生物質の効かない耐性菌が増えてきているという。より強力な抗生物質を使って対抗すると、やがてその抗生物質も効かない耐性菌が出てくるというから厄介だ。オーストラリアの研究班の発表によると、最近ではアルコール性消毒剤が効きにくい細菌も出てきており、感染症の拡大を招く一因になっているという。

コンピュータ・ウイルス/マルウェアの世界も、医療分野と同様の状況にある。

ウイルス対策ソフトの普及によって、一時は沈静化しつつあるとみられていたウイルスの被害だが、これまで広く利用されてきた「指名手配写真方式」でウイルスを検知する「パターンマッチング」では、対処が困難な攻撃手法が続々と考案され、被害は拡大傾向にある。

攻撃対象ごとに専用に開発される「未知のウイルス」を使用することが多い「標的型攻撃」などの増加によって、いまやウイルス対策ソフトが検知できるのは攻撃全体の45%ほどに過ぎないと指摘する専門家もいる。ということは、残りの55%、半分以上の攻撃は防ぐことができないということだ。

また、高度なスキルを持たない者でも、簡単にウイルス/マルウェアを作成できるツールが闇市場で流通していることも、被害を拡大する要因の1つになっている。毎日数万もの新種・亜種が生み出されており、アンチウイルスソフトを開発・供給しているベンダーによる「解析~パターンファイルの作成~配信」が追いつかない状況になっている。

これまでにない、新たな攻撃手法も続々と編み出されている。

マクロを無効化してもOffice文書にウイルスを感染させる

Microsoft Officeのマクロ機能を悪用する「マクロウイルス」がはじめて出現したのは、今から20年以上前の1995年のことだ。Windows PCの普及とともに、90年代後半から2000年代はじめに猛威を振るった。

マクロウイルスは、プログラミング言語並の機能を有するマクロ機能の悪用によって、ユーザーがWordやExcelの文書ファイルを開くだけで、悪意ある作成者が指定した通りの操作を勝手に実行してしまうもの。Microsoft OfficeにはMac版もあったため、Macに感染するウイルスも存在した。

そこで、事態を収拾すべくMicrosoftが対策に乗り出し、Office 2007からマクロの無効化がデフォルト設定になると、感染させることが困難になって次第に廃れていった。

ところが最近、マクロウイルスが再び感染を拡大し始めた。マクロが無効化してあってもOffice文書にウイルスを感染させる手法も発見されている。「SettingContent-msファイル」の悪用により、ウイルス感染させられる恐れがあるというのだ(※1)。

これらの攻撃手法に対抗するためには、マクロウイルス対策の基本に立ち返り、怪しいOffice文書や、文書に埋め込まれたファイルを開かないことが大切だ。

参考(※1):日経XTECH ニュース解説「マクロを無効にしてもウイルス感染、恐怖の新型攻撃を体験

実行ファイルが存在しないファイルレス・マルウェアの出現

ファイルレス・マルウェアとは、実行(exe)ファイルがディスク上に保存されず、メモリ上で実行されるマルウェアのことだ。

従来のマルウェアは、そのほとんどが実行ファイルそのものであり、ディスクに保存され、実行されることで不正な動作を行っていた。つまり、怪しいexeファイルを開きさえしなければよかった。

ところが、2016年ころから増加してきたファイルレス・マルウェアでは、実行ファイルはディスク上ではなくメモリ上に作成される。ディスク上に実行ファイルがないためシグネチャがなく、従来型のセキュリティ対策ソフトでは検知できなかった。

ただ、マルウェア本体は保存されないものの、マルウェアを起動させるためのコードなど、なんらかのファイルは存在していたのだが、2017年8月には、まったくファイルとして保存されずに動作する、さらにステルス性の高いマルウェア「JS_POWMET」も確認されている(※2)。

参考(※2):トレンドマイクロ セキュリティブログ「JS_POWMETのファイルレス活動、感染経路がUSBと特定

ファイルレス・マルウェアの対策としては、不正な動作を検知するためのエンドポイントにおける挙動監視や、AIによって未知のコードが脅威であるかどうかを判断できるセキュリティ製品が有効と思われる。

従来型ウイルス対策ソフトでは対応困難な状況に

これら新たな脅威の出現により、もはや従来型のウイルス対策ソフトさえインストールしておけば安心という状況では無くなってしまった。パターンマッチング方式からの脱却を目指す次世代アンチウイルスソフトも登場してきているが、残念ながらまだ最新の脅威には対応しきれていない。

ユーザー1人1人が脅威が増大してきていることをしっかり認識し、常日頃からセキュリティ関連情報に気を配って、きめ細かく対策を施しておく必要がある。

次回の更新は8月22日です。

RECOMMENDED