デジタルアーツは2020年3月16日、同社製品のユーザーから同意の下で収集した情報を基に、攻撃メールに使われる文書ファイルの種類と、そのファイルが業務で使われる割合について調査した。攻撃メールの82%は、Word/Excelの旧型式のファイル(doc/xls)を利用している。これらを使わないというルールを設けることでマルウェア感染リスクを軽減できるとしている。
攻撃者は、Word/Excelの文書ファイルに仕込んだマクロを使って攻撃する。これらの添付ファイルを開いてマクロを実行すると、例えばマルウェア本体をダウンロードしてしまう。2019年後半から流行しているマルウェア「Emotet」も、Wordファイル(docファイル)を用いている。
Word/Excelファイルは、バージョンによって標準で使えるファイル形式が異なる。例えばExcelの場合、バージョン2007以降は、マクロ付きのファイルはxlsm、マクロを含まないファイルはxlmxというように、マクロの有無によってファイル拡張子が変わる。一方、バージョン2003以前は、マクロの有無に関わらずファイル拡張子はxlsで変わらない(表1)。
| バージョン | 製品 | 標準形式 | マクロつきファイル |
|---|---|---|---|
| 2003 以前 | Word | doc | 標準形式と同じ拡張子が利用可能 |
| Excel | xls | 標準形式と同じ拡張子が利用可能 | |
| 2007 以降 | Word | docx | docm |
| Excel | xlsx | xlsm |
デジタルアーツは今回、同社製品のユーザーから同意の下で収集した情報を基に、攻撃メールに使われる文書ファイルの種類と、そのファイルが業務で使われる割合を調査した(図1)。
図1:業務で利用するメール添付ファイルの内訳。マクロ付きの旧型式ファイル(doc/xls)はほとんど業務では使わない(出典:デジタルアーツ)拡大画像表示
2019年1月~2020年2月に観測した攻撃メール(添付ファイル)のうち、82%はWord/Excel 2003以前の標準形式(doc/xls)だった。攻撃者は、マクロを実行させるための手段として、バージョン2003以前の旧型式ファイルをよく利用していることが分かった。
一方、2020年2月19日~2020年2月25日の1週間で国内75組織が受信したメール添付ファイルを調査したところ、マクロが付いたバージョン2003以前の旧型式ファイルを業務に利用しているユーザーはわずかだった。
具体的には、Excelファイルを添付したメールは1万933通、Wordファイルを添付したメールは2387通だった。このうち、マクロが付いたxlsファイルは263通(約2%)、マクロが付いたdocファイルは9通(約0.4%)だった。
以上の結果から、マクロが付いた旧型式ファイルは、業務にはあまり使わないにも関わらず、マルウェアにはよく使われる。このため、xlsファイルやdocファイルを利用しないというルールを設けることで、リスクを軽減できる、としている。
デジタルアーツは、調査の詳細を、同社のWebページで公開している。
