[新製品・サービス]

攻撃メールの82%はWord/Excelの旧形式「doc/xls」を利用─デジタルアーツ調査

2020年3月16日(月)日川 佳三(IT Leaders編集部)

デジタルアーツは2020年3月16日、同社製品のユーザーから同意の下で収集した情報を基に、攻撃メールに使われる文書ファイルの種類と、そのファイルが業務で使われる割合について調査した。攻撃メールの82%は、Word/Excelの旧型式のファイル(doc/xls)を利用している。これらを使わないというルールを設けることでマルウェア感染リスクを軽減できるとしている。

 攻撃者は、Word/Excelの文書ファイルに仕込んだマクロを使って攻撃する。これらの添付ファイルを開いてマクロを実行すると、例えばマルウェア本体をダウンロードしてしまう。2019年後半から流行しているマルウェア「Emotet」も、Wordファイル(docファイル)を用いている。

 Word/Excelファイルは、バージョンによって標準で使えるファイル形式が異なる。例えばExcelの場合、バージョン2007以降は、マクロ付きのファイルはxlsm、マクロを含まないファイルはxlmxというように、マクロの有無によってファイル拡張子が変わる。一方、バージョン2003以前は、マクロの有無に関わらずファイル拡張子はxlsで変わらない(表1)。

表1:ファイル拡張子とマクロの有無の関係
バージョン 製品 標準形式 マクロつきファイル
2003 以前 Word doc 標準形式と同じ拡張子が利用可能
  Excel xls 標準形式と同じ拡張子が利用可能
2007 以降 Word docx docm
  Excel xlsx xlsm

 デジタルアーツは今回、同社製品のユーザーから同意の下で収集した情報を基に、攻撃メールに使われる文書ファイルの種類と、そのファイルが業務で使われる割合を調査した(図1)。

図1:業務で利用するメール添付ファイルの内訳。マクロ付きの旧型式ファイル(doc/xls)はほとんど業務では使わない(出典:デジタルアーツ)図1:業務で利用するメール添付ファイルの内訳。マクロ付きの旧型式ファイル(doc/xls)はほとんど業務では使わない(出典:デジタルアーツ)
拡大画像表示

 2019年1月~2020年2月に観測した攻撃メール(添付ファイル)のうち、82%はWord/Excel 2003以前の標準形式(doc/xls)だった。攻撃者は、マクロを実行させるための手段として、バージョン2003以前の旧型式ファイルをよく利用していることが分かった。

 一方、2020年2月19日~2020年2月25日の1週間で国内75組織が受信したメール添付ファイルを調査したところ、マクロが付いたバージョン2003以前の旧型式ファイルを業務に利用しているユーザーはわずかだった。

 具体的には、Excelファイルを添付したメールは1万933通、Wordファイルを添付したメールは2387通だった。このうち、マクロが付いたxlsファイルは263通(約2%)、マクロが付いたdocファイルは9通(約0.4%)だった。

 以上の結果から、マクロが付いた旧型式ファイルは、業務にはあまり使わないにも関わらず、マルウェアにはよく使われる。このため、xlsファイルやdocファイルを利用しないというルールを設けることで、リスクを軽減できる、としている。

 デジタルアーツは、調査の詳細を、同社のWebページで公開している。

関連キーワード

デジタルアーツ / 標的型攻撃

関連記事

Special

-PR-

攻撃メールの82%はWord/Excelの旧形式「doc/xls」を利用─デジタルアーツ調査デジタルアーツは2020年3月16日、同社製品のユーザーから同意の下で収集した情報を基に、攻撃メールに使われる文書ファイルの種類と、そのファイルが業務で使われる割合について調査した。攻撃メールの82%は、Word/Excelの旧型式のファイル(doc/xls)を利用している。これらを使わないというルールを設けることでマルウェア感染リスクを軽減できるとしている。

PAGE TOP