マクロ マルウェアは、洗練されたソーシャル エンジニアリング戦術の出現とマクロ プログラムの人気によって復活しました。 特に Microsoft Office マクロは、MS Office のユーザー ベースが非常に大きいため、サイバー犯罪者にとって魅力的なターゲットです。
マクロ マルウェアは、多くの場合、Microsoft Office マクロの Visual Basic for Applications (VBA) プログラミングを利用して、ウイルス、ワーム、およびその他の形態のマルウェアを増殖させ、企業のセキュリティに重大なリスクをもたらします。
マクロ マルウェアの仕組み
マクロ (「macroinstruction」の略で、ギリシャ語 makros の「大文字のコマンド」: 「big」) は、Excel や Word などのアプリケーションに特定のアクションを実行するよう指示する一連のコマンドです。 マクロは、いくつかの小さな命令を XNUMX つのコマンドにまとめて、一緒に実行します。 これにより、繰り返し処理が高速化され、アプリケーションの機能が向上します。
マクロは他のプログラムと同様にプログラムであるため、マルウェアの作成者によって危険にさらされる可能性があります。 マクロ ウイルスは、Microsoft Word や Excel などのソフトウェア プログラムで使用されるのと同じマクロ言語で記述されます。 マクロ マルウェア攻撃では、サイバー犯罪者が悪意のあるコードを作成し、フィッシング メールの添付ファイルとして配布されるドキュメントのマクロに埋め込むことがよくあります。 被害者が添付ファイルを開くと、そこに含まれるマクロが実行可能になり、マルウェアは Microsoft Office で開かれたすべてのファイルに感染し始めます。 この急速に広がる能力は、マクロ マルウェアの主なリスクの XNUMX つです。
マクロ マルウェア保護のベスト プラクティス
マクロ ウイルスは、テキスト ドキュメントの内容の変更やファイルの削除など、悪意のある機能を呼び出すことができます。 また、Emotet マルウェアはマクロを使用してネットワークにアクセスすることもよくあります。 次のステップでは、バンキング型トロイの木馬、パスワード スティーラー、ランサムウェアなどの追加モジュールをロードします。 マクロ ウイルスの中には、被害者の電子メール アカウントにアクセスし、感染ファイルのコピーをすべての連絡先に送信するものもあります。これらのファイルは信頼できるソースからのものであるため、多くの場合、これらのファイルが開かれます。
Microsoft Office ファイル内のマクロが実行されていない場合、マルウェアはデバイスに感染できません。 マクロ マルウェアの感染を回避する上での最大の課題は、フィッシング メールを正しく識別することです。 次の点に注意する必要があります。
- 不明な送信者からのメール
- 請求書や機密情報と思われる情報が添付されたメール
- マクロを有効にする前にプレビューを提供するドキュメント
- マクロ プロセスが疑わしいドキュメント
マクロ マルウェアの脅威を排除する最善の方法は、マルウェアとデバイス間の相互作用を減らすことです。 組織は、マクロ マルウェア攻撃に対する防御を強化するために、次の手法を組み合わせて使用する必要があります。
マクロ マルウェアの脅威を排除
1. スパム/ジャンク フィルターとフィッシング対策の使用
受信トレイに届くフィッシング メールが少ないほど、マクロ マルウェア攻撃の可能性が低くなります。 従来のスパム フィルターに加えて、機械学習に基づいた高度なスピア フィッシング攻撃も検出できる特別なフィッシング保護テクノロジがあります。 これらのソリューションは、企業内の通常の通信動作を学習し、異常が発生した場合にアラームを鳴らします。
2. 強力なウイルス対策プログラムの使用
ウイルス対策ソフトウェアは、ユーザーが悪意のあるリンクを開こうとしたり、疑わしいファイルをダウンロードしようとしたりすると、アラートを送信できます。
3. 不明な送信者からの添付ファイル
ユーザーが電子メールの送信者を知らない場合、電子メールに個人情報が含まれていたり、電子メールが未払いの請求書であると主張したりしても、添付ファイルを開かないでください。
4. 既知の送信者からの不審な電子メールの添付ファイル
セキュリティ研究者は、悪意のあるファイルのコードを逆にすることで、サンプルによって保存された暗号化されたデータを解読し、ファイルのドメインのロジックを特定し、行動分析では明らかにされなかったファイルの他の機能を明らかにすることができます。 コードを手動でリバースするには、デバッガーや逆アセンブラーなどのマルウェア分析ツールが必要です。
5. マクロコントロールを処理する実行前チェック
マクロ コマンドが悪意のあるアクションを実行するように見える場合は、マクロを有効にしないでください。 多くのユーザーはマクロ マルウェアという用語に精通していますが、それを特定する方法を知らない可能性があるため、企業は、特にソーシャル エンジニアリングの分野で、潜在的な脅威を認識する方法について定期的なトレーニングを通じて従業員を教育する必要があります。 マクロ ウイルスの危険性に対するユーザーの意識が高まることで、企業のセキュリティが大幅に強化され、マクロ マルウェア攻撃の成功を最小限に抑えることができます。
[スターボックス=6]