セキュリティの
学び場

今回の解説ニュース

国のセキュリティ機関からサイバー攻撃やコンピュータウイルスに関する情報が公開されています。最近のサイバー攻撃で使われている手口やコンピュータウイルスについて説明します。

今回の資料は、製造業を中心とした情報共有の場であるJ-CSIPの参加組織から国のセキュリティ機関であるIPAに情報提供された、不審メールや不正通信、インシデントなど、サイバー攻撃に関して情報共有がなされています。 具体的には、

• ・Microsoft Exchange Serverの脆弱性を悪用した攻撃
• ・意図しないOnionドメインのサイトへの通信が発生
• ・ビジネスメール詐欺の疑いのあるメールを受信
• ・組織内から外部の不審サイトに不正通信を行っていることを検知

について情報共有されています。そのなかでも、「Excelアドイン形式のファイルが添付された不審メールの情報提供」があり、IPAではExcelアドインファイルを解析、比較し得た攻撃者の環境や攻撃手法についての知見を付録で紹介しています。

個人が不正なサイトにアクセスしない様にするには

個人が不正なサイトにアクセスしてしまわないためには、自分がアクセスしているサイトに違和感がないか常に気を付けることや、パソコン自体でのセキュリティ対策が必要です。

Onionドメインとは、The Onion Routerの略称であるTorの匿名化された接続経路でのみアクセス可能なドメインです。「.onion」で終わる長いドメイン名が特徴で、一般的なブラウザではアクセスできず、他のドメインより高い匿名性が提供されていると言われています。

今回のインシデントでは、Googleで発見したサイトへ訪問したところ、意図しないOnionドメインのサイトへの通信が発生し、セキュリティソフトによって検知したということです。企業のネットワーク通信は管理者がProxyなどを使って制御できるため、Onionドメインなど不正なサイトへのアクセスを禁止することが可能です。

Onionドメイン自体が不正なサイトとは限らないのですが、意図せず不正なサイトにアクセスしないためには、いつもアクセスしているサイトであっても違和感を感じないか気を付けることが必要です。パッと見では分からない状態になっていることが多いようですが、少しでも違和感を感じたらブラウザを閉じて様子を見ることが必要です。

また、個人の場合はパソコン自体、つまりエンドポイントでセキュリティ対策をすることが必要です。一般的には自宅ネットワークの通信を制御することは難しいため、ブラウザでアクセスしたドメインが不正なサイトにつながっていないか、パソコンにインストールしたセキュリティ対策にドメインやURLを監視する機能があれば、役に立つかもしれません。

今後は増加傾向？Excel-DNAを悪用したExcelアドインウイルス

少し技術的な内容になりますが、Excel-DNAを悪用したExcelアドインファイルのウイルスについて説明します。

開発ツールExcel-DNAを悪用し、Excelに別プログラムを実行させる

まず、Excelアドインとは、Excelに別のプログラムを追加して実行させるものです。マクロをご存じの方は多いかもしれませんが、アドインはあまり知られていないことも手伝って、マルウェアに悪用されていることが考えられます。また、Excel-DNAとは、ExcelアドインをC#などで開発するためのツールです。Excel-DNAはあくまでも開発ツールですが、作ることができるプログラムはマルウェアも含まれます。Excel-DNAはインターネットで公開されているため、誰でも利用することが可能です。

Excelアドインのウイルスは一般的なマルウェアと似た動きをする

Excelアドインのウイルスは、一般的なマルウェアと似た動作をします。Excelアドインのウイルスを実行してしまった場合、ダミー表示用のExcelと不正な動作をするプログラムの2つが生成されます。不正な動作をするプログラムは、マルウェア本体である場合と、インターネットから別のマルウェアをダウンロードするプログラムである場合があります。対策として、通常はExcelアドインを使用しない場合は、Excelアドイン自体を禁止してしまうことが有効です。通信経路上でExcelアドインを検知する場合は、ファイルが圧縮されていることがありますので、対応しているファイル形式であるかどうか、セキュリティ対策製品を確認しましょう。

様々なマルウェアが日々現れている状況ではありますが、このような情報を今後も皆さんと共に共有していきたいと思っています。