マクロウイルスとは？Office文書のマクロ機能を悪用して感染するマルウェア

マクロウイルスとは？ざっくりと3行で

WordやExcel・PowerPointなどのOffice文書に埋め込まれたマクロ（自動実行スクリプト）を悪用して、ファイルを開いた端末に感染して情報窃取・ランサムウェアのダウンロードなどを行うマルウェアのこと
メールの添付ファイルとして配布されることが多く「コンテンツを有効にする」ボタンをクリックさせてマクロを実行させる手口が代表的な感染経路だ
1990年代に初めて登場した古い手法だが、現代でも標的型攻撃やランサムウェアの初期侵入手段として依然として多用されており、特に企業向けのメール添付ファイル経由の攻撃が多い

【深掘り】これだけ知ってればOK！
よくある誤解
1. マクロウイルスはメールの添付ファイルを開かなければ感染しないと思っている
2. 「コンテンツを有効にする」は普通の操作だから安全だと思っている
会話での使われ方
【まとめ】3つのポイント
よくある質問
【出典】参考URL

【深掘り】これだけ知ってればOK！

マクロウイルスの感染の流れを理解しよう。①攻撃者が「請求書.xlsx」「契約書.docx」などの偽装した悪意のあるOffice文書をメールで送付。②受信者がファイルを開くと「コンテンツを有効にしてください」という黄色い警告バーが表示される。③受信者がクリックするとマクロが実行されてマルウェアがダウンロード・インストールされる。④情報の窃取・ランサムウェアの展開・バックドアの設置などの悪意のある処理が実行される。

マクロウイルスへの対策を整理しよう。マクロを無効にする（既定の設定）：Officeは既定でマクロを無効にする設定になっている。信頼できないファイルのマクロは絶対に有効にしない。Microsoft 365の保護機能：インターネットからダウンロードしたファイルはProtected View（保護されたビュー）で開かれてマクロの実行が阻止される。メールセキュリティ：添付ファイルの自動スキャン・悪意のあるマクロを含むファイルのブロック。エンドポイント保護（EDR）：マクロ実行後の不審な挙動を検知・遮断する。

マクロウイルスとEmotet（エモテット）の関係を理解しよう。Emotetは世界で最も広く拡散したマルウェアの一つで、Officeファイルのマクロを利用して感染するメール経由の攻撃を多用した。感染するとスパムメール送信・別のマルウェアのダウンロード・横展開（ネットワーク内の他の端末への拡散）を行う。2021年に当局によって一時制圧されたが、その後も活動が再開している。

2022年以降、MicrosoftはInternet上からダウンロードしたOffice文書のマクロを既定でブロックする設定変更を実施した。これによりインターネット経由でダウンロードしたWordやExcelファイルのマクロはユーザーが明示的に信頼するまで実行されなくなった。ただし攻撃者はZIPファイルへの圧縮・パスワード付き圧縮・Windowsのショートカット（.lnk）ファイルの悪用など代替手口に切り替えており、対策の継続が重要だ。

企業での対策としてグループポリシーによるマクロの一括無効化が有効だ。Active DirectoryのグループポリシーでOffice製品のマクロを一括で無効化・または信頼できる場所（特定のフォルダ）からのみ有効化するという設定が推奨される。業務でマクロを使う場合はデジタル署名付きのマクロのみを許可するという設定が最もセキュアだ。

よくある誤解

マクロウイルスはメールの添付ファイルを開かなければ感染しないと思っている

直接添付ファイルを開かなくても、OneDriveやDropbox・SharePointで共有されたファイル・Webからダウンロードしたファイルにも悪意のあるマクロが含まれる場合がある。ファイルの出所に関わらず信頼できないファイルのマクロは有効にしないことが原則だ。

「コンテンツを有効にする」は普通の操作だから安全だと思っている

「コンテンツを有効にする（Enable Content）」ボタンをクリックすることがマクロウイルス感染の引き金になる。信頼できる送信元から事前に確認した文書以外で、このボタンをクリックすることは非常に危険だ。不審なメールに添付されたファイルには絶対にクリックしない。

会話での使われ方

このメール添付のExcelファイルを開いたら「コンテンツを有効にしてください」と表示されました。絶対にクリックせずにファイルを閉じてIT部門に連絡してください。マクロウイルスの可能性があります。

IT担当者が社員にマクロウイルスの疑いがある添付ファイルへの対処を指示している場面。

Emotetに感染した端末が見つかりました。Officeのマクロを使った感染です。直ちにネットワークから切り離してEDRで横展開の被害範囲を確認してください。

セキュリティインシデント対応チームがEmotet感染のインシデント対応を指示している場面。

グループポリシーでOfficeのマクロをインターネットからダウンロードしたファイルに対して無効化しました。デジタル署名付きのマクロのみ許可する設定です。

情報システム担当者がグループポリシーを使ったマクロウイルス対策の設定を報告している場面。

【まとめ】3つのポイント

Office文書のマクロ機能を悪用してメール添付ファイル経由で感染するマルウェア：「コンテンツを有効にする」ボタンのクリックが感染の引き金になるため信頼できないファイルのマクロを絶対に有効にしないことがマクロウイルス対策の最も重要な行動原則だ
Officeの既定のマクロ無効設定と2022年以降のダウンロードファイルのブロックが有効な対策：MicrosoftはOfficeのマクロを既定で無効にしておりインターネットからダウンロードしたファイルのマクロを追加ブロックする対策も実施しているが攻撃者は代替手口に切り替えているため継続的なセキュリティ教育が不可欠だ
グループポリシーによるマクロ一括無効化とEDRによる事後検知が企業対策の核心：Active DirectoryのグループポリシーでOfficeのマクロを組織全体で一括無効化してデジタル署名付きのマクロのみ許可するという設定がEmotetなどのマクロウイルスへの企業レベルの最も効果的な予防策だ

よくある質問

Q Emotetとはどのようなマルウェアですか？: A

Officeファイルのマクロを利用して感染するメール経由のマルウェアです。感染するとスパムメール送信・別のマルウェアのダウンロード・ネットワーク内の他の端末への横展開を行います。2021年に当局により一時制圧されましたが現在も活動しています。

Q マクロウイルスに感染したかどうかはどうやって確認しますか？: A

エンドポイント保護（ウイルス対策ソフト・EDR）でスキャンして確認します。不審なプロセスの実行・外部への通信・ファイルの暗号化などの症状が見られる場合はすぐにネットワークから切り離してIT部門に報告します。

Q 業務でExcelマクロを使う場合はどうすればいいですか？: A

社内で作成したマクロファイルはデジタル署名を付けて「信頼できる発行元」として登録することで、デジタル署名付きマクロのみを許可する設定でも使用できます。

Q マクロウイルスはWindowsだけの問題ですか？: A

macOSでもOfficeのマクロは実行できるためmacOSでも感染するリスクがあります。ただしWindowsほど攻撃対象になっているわけではありません。

【出典】参考URL

https://www.ipa.go.jp/security/emotet/ ：IPAのEmotetへの対応ガイド
https://learn.microsoft.com/ja-jp/deployoffice/security/internet-macros-blocked ：MicrosoftのOfficeマクロブロックポリシーの解説
https://www.microsoft.com/ja-jp/security/blog/ ：Microsoft Security Blog