マクロウイルス は 15 年以上も前から流行っていたウイルス感染攻撃の手法の1つです。

－ 世界初のマクロウイルス －
1995年 確認

ただ、2014 年あたりから、英語表記の 迷惑メール（スパムメール） にマクロウイルスを添付して、不特定多数にバラ撒く攻撃キャンペーンが広く確認されるようになりました。

● オンライン銀行詐欺ツール「DRIDEX」、文書ファイルに埋め込まれた不正なマクロ経由で感染
「DRIDEX」は不正なマクロのコードを含む Wordファイルを送信するスパムメールを利用します。このマクロのコードによって、「DRIDEX」は感染 PC にダウンロードされます。 （2014年）
https://blog.trendmicro.co.jp/archives/10238

● 複合機の通知を偽装したメールがマクロ型不正プログラムを頒布、日本でも被害
複合機からの通知を偽装したメールによる不正プログラム頒布の攻撃を、世界的に確認しました。これは複合機からのスキャンデータ送信を偽装したマクロ型不正プログラムを含む Word文書ファイルが添付された攻撃メールが広まっているものです。 （2015年）
https://blog.trendmicro.co.jp/archives/11776

何ともありがたくない…、マクロウイルスという脅威の 復活 です！

2015 年あたりから、日本の Windows パソコンをターゲットに、ネットバンキング不正送金やクレジットカード不正利用の被害で暗躍するマルウェアの感染を意図した 日本語の迷惑メール（スパムメール） が確認されています。

• Ursnif / Dreambot / Gozi
  （読み方 アースニフ、ドリームボット、ゴジ）
  
  
• Shiotob / Bebloh
  （読み方 シオトブ、べブロー）
  
  
• Shifu / Shiz

添付ファイル → ワード文書のウイルス
（出典 多摩北部医療センターPDFファイル）

1. 文書作成ソフト
   Microsoft Word （ワード）
   
   
2. 表計算ソフト
   Microsoft Excel （エクセル）
   

マクロの動作にサポートする Office が存在しない環境は、マクロウイルスの影響をいっさい受けません。

○ Windows XP/Vista/7/8/10
△ macOS → 「Office for Mac」 で影響がなくはないものの限定的
× Android スマホ
× iOS （iPhone / iPad）
× ガラケー

また、Microsoft Office の互換オフィスソフトや、ブラウザ上で動作する Office Online は、Visual Basic for Applications をサポートしておらず、マクロウイルスの影響をいっさい受けません。

× OpenOffice
× LibreOffice
× Microsoft Office Online

■ マクロウイルスの拡張子は？

マクロウイルスとして採用されるファイルの形式は？

Windows ユーザーさんが特に注意を払うべき危険な ファイルの拡張子 は、次の2つの形式です。

1. 拡張子 .doc … Word 文書
   拡張子 .docm … マクロが含まれることを拡張子で示す Word 文書
   
   
2. 拡張子 .xls … Excel ファイル
   拡張子 .xlsm … マクロが含まれることを拡張子で示す Excel ファイル

マクロウイルスの実体は、ファイルの拡張子が偽装されていることもなく、ユーザー間でやり取りされる Word ファイル や Excel ファイル なのが厄介です。

マクロウイルスの実物画像

• 『不審なファイルを開くな！』
  Windows ユーザーがパッと見でマクロウイルスを見極めるのは難しく無謀な要求
  → ファイルの内容を確認する作業として無警戒に Office ファイルを開く現実
  
  
• 文書ファイルなので安全？
  マクロウイルスの危険性について認識していないユーザーさんが多い恐れ
  知識がアップデートされておらず 「マクロウイルスは過去の脅威」 と勘違いしているユーザーも？
  
  
• ウイルスメール対策のフィルタリング
  通常でもやり取りされている Word ファイル と Excel ファイル
  → フィルターで機械的に弾けないのでユーザーの手元にあっさり届きやすい
  

Windows の 実行ファイル（拡張子 .exe）、スクリーンセーバー（拡張子 .scr） に対処するのとはワケが違います。

つまり、拡張子が 「.docx」 「.xlsx」 の Office ファイルは100％確実にマクロウイルスではないものの、このファイル形式ならば確実に安全であるとは言いきれないから、困りモノです。

• Microsoft Office 旧バージョンの脆弱性を悪用する手口あり
  → Microsoft Office 最新の更新プログラムを適用するウイルス対策 が有効
  
  
• 文書ファイル内に不正なスクリプトファイル、不正なショートカット、不正な DOS ファイルを埋め込む
  → Windows ユーザーさんにダブルクリックさせて開かせるウイルス感染手口あり

マクロウイルスが採用される役割と症状と対策

1. ダウンローダー型のマクロウイルス
   Microsoft Word や Microsoft Excel  を介して外部ネットワークに接続を試みる
   　↓
   実行ファイルをダウンロードしてきてコッソリ起動する
   
   
2. ドロッパー型のマクロウイルス
   Word ファイルや Excel ファイルの内部に埋め込まれた実行ファイルやスクリプトをコッソリ投下して起動する

• Microsoft Word や Microsoft Excel そのものが正常に動作しなくなる
  
  
• Microsoft Office ファイルのテンプレートが改ざんされる
  
  
• マクロウイルスがワームのように拡散して他の Windows に影響を与える
  
  
• もともと安全な Office ファイルが不正なファイルに変貌してマクロウイルス化する

1999 年発売の Microsoft Office 2000 から、マクロウイルス対策が標準で実装されており （結果的にマクロウイルスが一時的に寂れていた原因）、Word ファイルや Excel ファイルを単に開くだけで攻撃をモロに喰らうことはなくなっています。 

マイクロソフトが用意しているマクロウイルスの対策は？

Microsoft Word や Microsoft Excel のウィンドウ画面上部に、黄色でセキュリティ警告の通知バー をキッチリ表示して、Windows ユーザーさんに判断を仰ぐ仕組みです。

セキュリティの警告 コンテンツの有効化

わざわざ目に見えてセキュリティ警告の表示をバシッと行っても、警告される理由や意味がサッパリ分からない Windows ユーザーさんが セキュリティ警告を完全無視して脊髄反射で [コンテンツの有効化] ボタンをポチッとな♪ ＜ぎょぇー

• 警告も虚しくマクロウイルスの攻撃をモロに喰らい自爆感染
  マクロウイルスが流行る理由は ”人間の脆弱性” （ヒューマン エラー） が解消できないため
  
  
• マクロのコードを難読化してマクロウイルス亜種を無限作成できる
  セキュリティソフトの定義データで検出する対応が間に合わず ”イタチごっこ” になっている
  
  
• マイクロソフトによる正規製品 Microsoft Office の悪用
  マクロウイルスは正当な機能を悪用するのでセキュリティソフトの検出を簡単に迂回される

攻撃者にとって、マクロウイルスは一石三鳥です。

手元の Windows 環境で、現物のマクロウイルス （不正なワード文書ファイル） のマクロを故意に許可した直後の Windows のプロセスの様子です。 ＜症状が分かるウイルス感染の瞬間

結局のところ、マクロウイルスの攻撃を実際に喰らうかどうか運命の分かれ目は、（対応が後手に回ることもあるセキュリティソフトの有無ではなく） ユーザー自身の行動に完全に託されている ところが鍵です。

マクロウイルスの代表的な感染経路であるEメールを受信して、”怪しい” とか ”不審” とまったく認識できず、”うっかり” しまくる Windows ユーザーさんが現実に存在する以上はどうしましょ…。

 
激安価格な中古ノートパソコン

いやいや、効果的な 2つのマクロウイルス対策 をどぞどぞ～。

数分で、それもお金が何らかからならないマクロウイルス対策として、Microsoft Word と Microsoft Excel にそれぞれ用意されてる セキュリティセンター （トラストセンター） の設定で、マクロのオプションを見直しましょう。

マクロウイルス向けのセキュリティ設定

具体的な作業として、それぞれの [オプション] → 左メニューの [セキュリティセンター] [トラストセンター] → [セキュリティセンター] [トラストセンター] ボタン → 左メニューの [マクロの設定] でオプションを切り替えます。

【Microsoft Word の実行ファイル例】
Program Files フォルダー
「Microsoft Office 15\root\office15\WINWORD.EXE」
「Microsoft Office\Office12\WINWORD.EXE」

【Microsoft Excel の実行ファイル例】

Program Files フォルダー
「Microsoft Office 15\root\office15\EXCEL.EXE」
「Microsoft Office\Office12\EXCEL.EXE」

このマクロウイルス対策は、Windows に標準で実装されてる Windows ファイアウォール でも実現可能です。 ＜無料

さらに、マクロウイルスはダウンローダーの処理を Windows の正規のプログラム PowerShell に投げる手口が見られるので、実行ファイル powershell.exe の外部通信もファイアウォールでブロック遮断しておく対策もオススメします。

→ Windows ファイアウォールでウイルス感染防ぐ設定

• Windows Update でセキュリティ更新パッチを適用する
  
  
• Microsoft Office の最新版を使う

Microsoft Office や Windows が最新版であろうがなかろうが、Microsoft Office がインストールされてある地球上の全 Windows がマクロウイルスの影響下です。

マクロウイルスのセキュリティソフト検出名

Kaspersky カスペルスキー
Trojan-Downloader.MSWord.Agent Trojan.MSWord.Agent HEUR:Trojan.Script.Agent.gen Trojan-Downloader.MSExcel.Agent HEUR:Trojan-Downloader.Script.Generic HEUR:Trojan.Script.Generic Exploit.MSWord.DDE HEUR:Trojan-Dropper.MSOffice.SDrop.gen HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan-Downloader.MSOffice.SLoad.gen

Microsoft マイクロソフト
TrojanDownloader:O97M/Bartallex TrojanDownloader:W97M/Bartallex TrojanDownloader:W97M/Adnel TrojanDownloader:O97M/Donoff TrojanDownloader:W97M/Donoff TrojanDownloader:O97M/Tarbir TrojanDownloader:O97M/Daoyap Exploit:O97M/DDEDownloader Trojan:O97M/PowCript TrojanDownloader:O97M/Dornoe TrojanDownloader:O97M/Vigorf TrojanDownloader:O97M/Graword TrojanDownloader:O97M/Powdow Trojan:O97M/Sonbokli Trojan:O97M/Obfuse Trojan:O97M/Artitex Trojan:O97M/DPLink TrojanDownloader:O97M/Obfuse TrojanDownloader:O97M/Dotraj TrojanDownloader:O97M/Emotet

Trend Micro トレンドマイクロ・ウイルスバスター
X97M_DLOADR W2KM_BARTALEX W97M_MARKER W2KM_DLOADR W2KM_MONALIS W2KM_DOXMAL W2KM_SWIZZOR W2KM_LOCKY X2KM_LOCKY W2KM_CERBER W2KM_URSNIF W2KM_LO W2KM_DL W2KM_HANCITOR HEUR_VBA.O1 HEUR_VBA.O2 W2KM_DLOADER X2KM_POWMET X2KM_POWLOAD W2KM_POWLOAD TROJ_DEDEX X2KM_BEBLOH HEUR_VBA Trojan.W97M.POWLOAD Trojan.W97M.DLOADR Trojan.W97M.DLOADER Trojan.W97M.MALSPAM Trojan.W97M.URSNIF Trojan.W97M.POWRUN Trojan.W97M.QAKBOT Trojan.W97M.REMCOS Trojan.W97M.EMOTET Mal_OLEMAL-4 Trojan.X97M.DEDEX Possible_OLEMAL

タグ ：

Windows