2020 年 4 月 6 日 Trevor Collins 著

先週 Mimecast 社の研究者は、Exel スプレッドシートに隠された LimeRAT マルウェアの増加についての記事を投稿しました。ウォッチガードが四半期毎に発行しているセキュリティレポートをご覧になっている方ならばご存知かもしれませんが、マルウェアの拡散に Excel スプレッドシートが利用されるケースが増加している状況は、ウォッチガードも把握していました。最新のレポートで、Excel のマルウェアの増加についてご覧ください。

Mimecast 社の研究者は、攻撃者が独自の方法でパスワード保護された Excel スプレッドシートに悪意あるコードを隠していることを発見しました。攻撃者がファイルにパスワードをかける際、Excel はファイルの内容を暗号化するので、検出を避けやすくなります。通常攻撃者はソーシャルエンジニアリングを使って被害者にパスワードを入力させ、ファイルを開かせて悪意のあるマクロを実行させる必要があります。しかし Mimecast 社が発見したところでは、ファイルを「読み取り専用」に設定してデフォルトのパスワードである「VelvetSweatshop」を使うと、ユーザが文書の編集を許可する際に、Excel が自動的にファイルのロックを解除するということがわかっています。これは Excel がロックされたファイルを開く際に、まずはデフォルトパスワードを使って解除を試み、それが失敗した場合にのみユーザにパスワードの入力を要求するためです。

この方法を悪用し、ネットワークベースの基本的なウイルス対策を回避しているハッカーがいます。暗号化をすると、ファイル内の悪意あるコードはウイルス対策エンジンに検出されにくくなります。通常、ユーザはファイルのロックを解除するためにパスワードを入力しなくてはならないため、これはそれほど問題にはならないのですが、デフォルトパスワードが使用されている場合、Microsoft Excel が自動的にパスワードの試行をするため、ユーザが操作しなくてもロックが解除されます。その結果、多くのウイルス対策エンジンを回避することのできるマルウェアが出来上がります。ウォッチガードの APT Blocker で試験を行ったところ、ファイルが復号化されたあと、マルウェアが見つかり、これらのファイルはブロックされました。しかしデフォルトではないパスワードを使用している場合はブロックすることができません。

もし APT Blocker がない場合でも、ネットワークベースのウイルス対策エンジンの多くは、すべての暗号化ファイルをブロックします。しかしほとんどの組織がこれらのファイルをブロックしないのは、認証されていないユーザがアクセスできないように暗号化した正規の文書を、送ることができなくなってしまうからです。暗号化された文書を完全にブロックするのではなく、お使いのコンピュータ上のマルウェア対策を含めた、エンドポイントプロテクションを含めた多層防御をお勧めします。パスワード保護されたファイルの問題は、多層防御だけが解決できる問題であるとウォッチガードは考えています。ネットワークと、コンピュータ上のソフトウェアの両方による保護をすることで、この脅威のリスクを大きく減らすことができます。エンドポイントプロテクションでは、ファイルを復号化した後に、それが悪意あるものかどうかを特定します。

多層防御を導入し、最も堅牢なマルウェア対策環境を構築してください。そして、このようなファイルには十分に注意を払いましょう。送信元先が不明な Microsoft Office ファイルは開かず、もしパスワード入力を要求する未知のファイルが送られてきたら、決して開こうとしないようにしましょう。