Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも

情報処理推進機構(IPA)は、「wiz」の拡張子を持つウィザードファイルを悪用した攻撃手法が9月に公開され、メール経由の攻撃も確認しているとして注意を呼びかけている。

同機構によれば、「wizファイル」を用いた攻撃は、拡張子「doc」などを持つWordファイルと同様、マクロを悪用する手口。拡張子「wiz」は、一般的にWordに関連付けられており、ダブルクリックするとWord上で開かれる。

誤ってファイルを開いた場合も、マクロを悪用する手口であるため、Officeに用意された「保護ビュー」で表示されている間は攻撃は成立せず、マルウェアへの感染は防げる。

一方、ファイルを開いた際に表示される「マクロを有効にする」「コンテンツの有効化」といったボタンでマクロの動作を許可してしまうとマルウェアへ感染するおそれがある。

20181030_ip_001.jpg
マクロを有効にしなければ、マルウェア感染は防ぐことが可能(画像:IPA)

すでに同機構では、添付ファイルとしてメールで送りつける攻撃を確認。同ファイルをダウンローダーとして利用し、別のマルウェアへ感染させようとしていたという。現時点で日本語を用いたメールは確認されていないが、今後国内に攻撃が拡大するおそれもある。

同機構では、マクロやコンテンツの有効化を尋ねるダイアログが表示されても、安易に有効化せず、システム管理部門などへ相談するよう注意を喚起。

悪意あるファイルでは、保護ビュー上で表示される本文に、「閲覧のためにはコンテンツの有効化が必要」などともっともらしいメッセージを記載し、マクロを有効化させるソーシャルエンジニアリングも多用されており、本文の記載内容にも惑わされないようにする必要がある。

今回「wizファイル」について注意喚起が行われたが、他ファイル形式を悪用するケースもあり、同機構は、意味がわからない警告が表示された場合は、操作は中断するようアドバイス。

また同機構はOSやアプリケーションにおける脆弱性の解消や、出所のわからない添付ファイルを安易に開かないなど、基本的な対策についても実施するよう呼びかけている。

(Security NEXT - 2018/10/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

日米豪など8カ国が共同署名 - 中国関与の「APT40」へ対抗
ランサム身代金、FBIは支払いに否定的ながらも一定の理解
約3カ月ぶりに「Emotet」が攻撃再開 - 「信頼できる場所」で警告回避
「MSDT」にゼロデイ脆弱性「Follina」 - MSが回避策をアナウンス
新手の攻撃?と思いきや、被害組織のPPAPシステムが「Emotet」メールも暗号化
開くだけで感染、「Emotet」新手口 - 「アイコン偽装」でさらに拡張子を隠蔽
米政府、北朝鮮関連グループの攻撃に注意喚起 - 標的は暗号通貨やNFT関連
「Emotet」感染、2月第1週より急速に拡大 - ピーク時に迫る勢い
Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
5カ月ぶりに「Emotet」が活動再開 - 感染拡大に警戒を