Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも

情報処理推進機構(IPA)は、「wiz」の拡張子を持つウィザードファイルを悪用した攻撃手法が9月に公開され、メール経由の攻撃も確認しているとして注意を呼びかけている。

同機構によれば、「wizファイル」を用いた攻撃は、拡張子「doc」などを持つWordファイルと同様、マクロを悪用する手口。拡張子「wiz」は、一般的にWordに関連付けられており、ダブルクリックするとWord上で開かれる。

誤ってファイルを開いた場合も、マクロを悪用する手口であるため、Officeに用意された「保護ビュー」で表示されている間は攻撃は成立せず、マルウェアへの感染は防げる。

一方、ファイルを開いた際に表示される「マクロを有効にする」「コンテンツの有効化」といったボタンでマクロの動作を許可してしまうとマルウェアへ感染するおそれがある。

20181030_ip_001.jpg
マクロを有効にしなければ、マルウェア感染は防ぐことが可能(画像:IPA)

すでに同機構では、添付ファイルとしてメールで送りつける攻撃を確認。同ファイルをダウンローダーとして利用し、別のマルウェアへ感染させようとしていたという。現時点で日本語を用いたメールは確認されていないが、今後国内に攻撃が拡大するおそれもある。

同機構では、マクロやコンテンツの有効化を尋ねるダイアログが表示されても、安易に有効化せず、システム管理部門などへ相談するよう注意を喚起。

悪意あるファイルでは、保護ビュー上で表示される本文に、「閲覧のためにはコンテンツの有効化が必要」などともっともらしいメッセージを記載し、マクロを有効化させるソーシャルエンジニアリングも多用されており、本文の記載内容にも惑わされないようにする必要がある。

今回「wizファイル」について注意喚起が行われたが、他ファイル形式を悪用するケースもあり、同機構は、意味がわからない警告が表示された場合は、操作は中断するようアドバイス。

また同機構はOSやアプリケーションにおける脆弱性の解消や、出所のわからない添付ファイルを安易に開かないなど、基本的な対策についても実施するよう呼びかけている。

(Security NEXT - 2018/10/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Office数式エディタに対する脆弱性攻撃 - サンドボックス回避のおそれも
日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通
「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
IEに未修正の脆弱性、APT攻撃に悪用との指摘
北朝鮮悪用のFlash脆弱性、広く悪用される状態に - 海外中心に攻撃が拡大、国内でも
クレカ番号詐取による被害が増加、JC3が注意呼びかけ
悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散
「Ursnif」の感染活動で複数のサンドボックス回避技術を利用
既知のOffice脆弱性「CVE-2017-0199」を狙う攻撃が増加