IPA、およびJPCERT/CC(※)では、2013年6月以降のWebサイト「改ざん」被害報告の増大を受け、Webサイト管理者に対して、注意を呼びかけ続けています。

Webサイトの「改ざん」被害は、2009年頃から報告されるようになりましたが、その数は、月間400〜500件程度でした。

しかし、2013年6月になると、急に被害件数が増加し、月間1,000件を超えるようになっています。

※IPA ：独立行政法人情報処理推進機構
※JPCERT/CC ：一般社団法人 JPCERT コーディネーションセンター

インターネット上の組織の入り口であるWebサイトが「改ざん」されると、組織活動が停止してしまいますし、最悪の場合、秘密情報等が漏洩してしまう可能性もあります。

また、Webサイトが「改ざん」されてしまうと、上記の様に自社に影響を与えるのみならず、Webサイトを訪れたお客様にも影響を与えてしまいます。

そこで今回は、これまでに判明している、次のような内容を紹介したいと思います。

●「マルウェア」の侵入方法
●Webサイトの「改ざん」手口
●Webサイト「改ざん」の防止方法

相手の手口を知ることで、Webサイトの「改ざん」を防止することができます。言わば、「孫子の兵法」です。

しかし、Webサイトの「改ざん」方法は、日々進化していますので、今行っている対策が、必ずしも有効とは限りません。

常に、ソフトウェアを最新の状態に保ち、かつセキュリティ対策も怠らないことが肝心です。

今回も宜しくお願いします。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

■「マルウェア」の侵入方法

まずは「Webサイトの改ざん」を行うマルウェアの侵入について紹介したいと思いますが、改ざん対象としては、大きく次の2種類が対象となります。

・PC
・サーバー

PCとは、社内のPCから「トロイの木馬」等のウィルス、俗に言う「マルウェア」を侵入させる方法です。

サーバーとは、社外に公開しているサーバー、例えばWebサーバーやメール・サーバー等を攻撃する手口になります。

また、ウィルスとは別口ですが、Webサイトのトラフィックを増やし、お客様が、Webサイトを閲覧できなくする手口もあります。

それでは順番に、その手口を紹介します。

●PCからの「マルウェア」感染

「マルウェア(malware)」とは、悪意のあるソフトウェアやプログラミングコードの総称で、悪意(malicious)とソフトウェア(software)をつなげた造語になります。

ウィルスやワーム、スパイウェア、そしてスクリプトなど、全ての悪意のあるプログラム等が含まれます

社内PC経由の「マルウェア」の侵入経路は、大きく次の3種類があります。

・Webサイト
・メール
・外部機器

攻撃側は、社内の秘密情報を盗んだり、あるいはWebサイトにマルウェアを仕込んだりすることを目的に、様々なウィルスを送りつけてきます。

そして、見事、社内インフラであるPCに侵入すると、後は、攻撃者による遠隔操作で侵入したPCを操作し、Webサイトを改ざんしたり、あるいは侵入したPCから、別のPCにマルウェアを送信したりします。

それでは、順番に、その手口を紹介します。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

1.Webサイト経由の侵入

Webサイト経由のマルウェアの侵入方法は、次の2種類です。

(1)ファイルのダウンロード
(2)マルウェアが仕込まれたWebサイトの閲覧

特に問題なのが(2)のケースです。

(1)のケースは、次の2段階の手順でマルウェアに侵入されてしまいます。

1)ファイルのダウンロード
2)ファイルの実行

このケースでは、通常、ファイルをダウンロードしただけでは侵入されませんが、ダウンロードしたファイルを開こうとすると、ファイルに仕込まれたマルウェアが起動し、PCにマルウェアが侵入します。

また、進化したマルウェアの場合には、ダウンロードしただけでも侵入されてしまうケースもあります。

(2)のケースの場合、使用しているWebブラウザやプラグインに問題があると、Webサイトを閲覧しただけでマルウェアが侵入しますので、非常に厄介です。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

2.メール経由の侵入

メールの場合には、次の2種類の侵入方法があります。

(1)添付ファイルの閲覧
(2)メール内のURLのクリック

(1)のケースは、前述のファイルのダウンロードと同じ方法です。

メールに添付されたファイルを開くと、ファイルに仕込まれたマルウェアが起動し、PCにマルウェアが侵入します。

(2)のケースも、前述のWebサイト経由の侵入と同じで、サイト自体にマルウェアが仕込まれていますので、サイトを閲覧しただけでマルウェアが侵入してしまいます。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

3.外部機器経由の侵入

外部機器経由とは、USBやCD経由の感染になります。

USBやCDにもマルウェアは存在します。

このため、マルウェアに汚染されたUSBやCDをPCに挿入すると、該当PCに、直ぐにマルウェアが侵入します。

また、マルウェアが仕込まれているファイルをダウンロードし、ダウンロードしたファイルをUSBやCDに保存し、さらに、そのUSBやCDを別にPCに挿入すると、Windowsの「Auto-Run」機能により、自動的にマルウェアをインストールしてしまう可能性があります。

これは非常に危険です。

●サーバーからの感染

一般にサーバーと言っても、その種類は多種多様です。大企業であれば、次のようなサーバーを管理していると思います。

弊社のような小さな企業でも、上から3つ目のサーバーまでは保有していますが、ファイル・サーバー以外は、費用とメンテナンス効率の面からホスティングを活用しています。

そして、通常これらサーバーは、ハードウェア、ネットワーク、OS、ミドルウェア、およびアプリケーションから構成されています。

サーバーを構成するこれらハードウェア、およびソフトウェア群の内、マルウェアから攻撃を受けるのは・・・残念ながら全て攻撃対象です。

攻撃方法としては、基本的に、ソフトウェアの脆弱性を狙った攻撃になります。

それでは、それぞれの構成物に対して、どのような攻撃方法があるのかを紹介したいと思いますが、ハードウェアとネットワークに関しては、マルウェアの感染ではありませんので、その他の攻撃として、別途紹介します。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

1.アプリケーション攻撃

「アプリケーション」と言うと、かなり範囲が広いので、今回は、Web上で実行する「Webアプリケーション」に限定にします。

Webアプリケーションに対する攻撃は、多岐に渡ります。

それでは、Webアプリケーションに対する、代表的な攻撃方法を紹介したいと思います。

上記のような攻撃は、ファイヤーウォールでは防止できませんので、アプリケーション(プログラム)単位で、個別に防止するしかありません。

個々の攻撃方法を詳しく説明すると、ページ量が多くなるので割愛しますが、要は、Web上で動作するプログラムには様々な弱点があり、攻撃者は、あの手この手を駆使して、執拗に攻撃を行ってくる、と言うことです。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

2.ミドルウェア攻撃

ミドルウェアも、結局の所はプログラムですので、その脆弱性に関しては、上記Webアプリケーションと同様の脆弱性を抱えています。

Webアプリケーションと異なる点としては、Webアプリケーションは、社員、あるいは個別のソフトウェア開発業者が作成しているのに対して、ミドルウェアは、大手ソフトウェア・メーカーが開発している点が異なります。

「それで何が違うの ?」と言うことですが、Webアプリケーションの場合は、脆弱性が見つかった場合、プログラム作成者に依頼すれば、比較的早く対応が取れます。

しかし、大手ソフトウェア・メーカーの場合は、そう簡単ではありません。

大手ソフトウェア・メーカーが開発・販売しているミドルウェアに関しては、そもそも脆弱性の発見から認証までに時間が掛かります。自社のソフトに脆弱性があるとは誰も認めたがりません。

さらに、メーカーが脆弱性を認証してから対応方法を一般公開するまでも時間が掛かります。

例えば、今年(2014年)の4/15に、Oracle社が、自社で開発・提供している「Java」に複数の脆弱性が存在すること認めましたが、対応方法を公開したのは7/16です。(この間、3ヶ月)

しかも、そもそもJavaに脆弱性があると認識され始めたのは2012年2月頃で、2013年1月には、様々なセキュリティ会社やアメリカ政府や日本政府まで、使用禁止を呼びかけたほどです。

Javaの件は極端な例ですが、実に2年以上もの間、ミドルウェアの脆弱性が放置されたままになっていました。

さらに、ミドルウェアの場合、Windows等のOSとは異なり、脆弱性への対応が発表されても、自ら操作してソフトウェアを更新する必要があります。

つまり、自社でサーバーを管理・運営している場合、社員の誰かが脆弱性対応をしなければ、爆弾を抱えたままWebサイトを使い続けることになります。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

3.OS攻撃

OSとは、Windows 7とかWindows 8とか、あるいはLinux、Unix等、PCやサーバーを動かすための基礎部分になります。

PCやサーバーがあっても、OSがインストールされていなければ、単なる機械(ハードウェア)の塊でしかありません。

このOSの脆弱性に関しては、毎日と言って良いほど脆弱性が発見されています。

特に近頃の流行りとしては「ゼロデイ攻撃」と呼ばれる攻撃方法が増加しています。

これは、脆弱性、つまり弱点が発見/公開されてから、メーカーが修正プログラムを配布するまでの間に、その弱点を攻撃する方法です。

メーカーは、弱点が発見された場合、まず弱点を公開し、修正プログラムが配布されるまでの間の暫定的な防御策を公開します。

これは、一見親切な行動に見えますが、メーカーにとっては「責任回避」の手段でしかありません。

障害情報を公開しないと、裁判になった時に不利になりますので、「対応方法は伝えたから、後は勝手に対応してくれ」と言う訳です。

しかし、脆弱性の公開は、攻撃者にとっては「願ってもいない情報」になります。

考え方の違い、および企業防御のためだと思いますが、自身で脆弱性を把握したなら、修正プログラムを配布するまでは、脆弱性は秘匿した方が、「ゼロデイ攻撃」を防止できると思います。

●その他の攻撃

別の攻撃方法としては、Webサイトに、複数、かつ大量にアクセスし、該当Webサイトを占有する方法があります。

これは、DoS攻撃(Denial of Service attack)、およびDDoS攻撃(Distributed Denial of Service attack)と呼ばれる攻撃手法です。

DoS攻撃、およびDDoS攻撃とも、Webサイトに対して、大量のアクセスを要求して、該当サイトのリソースを枯渇させ、他者がアクセスできない状態にすることを目的にしています。

Webサイトのリソースとは、CPU処理能力、メモリー処理能力、あるいはネットワークの処理能力を意味しています。

DoS攻撃とDDoS攻撃の違いは、1箇所から攻撃するのが「DoS攻撃」で、複数箇所から攻撃するのが「DDoS攻撃」となります。

例えると、次のようになります。

攻撃箇所が1箇所なら、攻撃元のIPアドレスを特定し、アクセスを拒否すれば対応可能ですが、DDoS攻撃となると、防御は、ほとんど不可能です。

また、DDoS攻撃に使われるPC、つまり特定Webサイトにアクセス要求を出すPCは、「踏み台」と呼ばれるPCで、そのほとんどが前述のマルウェアで遠隔操作されたPCになります。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

■Webサイト「改ざん」手口

これまで、「マルウェア」が、PCやサーバーに侵入する方法を紹介してきましたが、ここで、侵入したマルウェが、どうやってWebサイトを改ざんするのかを説明します。

その前に、まず、Webサイトが改ざんされると、どのような事が起きるのかを簡単に紹介します。

(1)攻撃者は、様々な方法でマルウェアをWebサーバーに侵入させます。
(2)侵入したマルウェアは、Webサイトを改ざんします
(3)改ざんされたWebサイトは、訪問者を別のWebサイト(偽サイト)に誘導します
(4)偽サイトでは、次のような操作を行います
①ユーザーID/パスワードを入力させて秘密情報を騙し取る
②訪問者のPCにマルウェアを感染させる

それでは、マルウェアとは、どのような手口でWebサイトを改ざんするのでしょうか ?

マルウェアのWebサイト改ざん手口も複数存在しますので、今回は、現在多数の被害報告が寄せられている「コードネームCOLOR」と呼ばれるマルウェアの手口を紹介します。

この「コードネームCOLOR」は、Webサイトを構成している下記の様なソースコード(プログラム言語)に、文字列を埋め込みます。

・HTMLファイル(.html)
・JSPファイル(.jsp)
・PHPファイル(.php)
・JavaScriptファイル(.js)
・JSONファイル(.json)
・テンプレートファイル(.tpl)
・設定ファイル(.htaccess)

マルウェアによって埋め込まれた文字列の先頭には、「0c0896」というような文字列が存在します。

この「0c0896」が、Webサイトにおける色の表記方法に似ているので「コードネームCOLOR」と呼ばれています。

そして、文字列「0c0896」の後ろにJavaScriptが設定されていますが、このスクリプトが実行されることにより、サイト訪問者は、偽サイトに誘導されたり、あるいはパスワードを盗まれたり、あるいは自分のPCにマルウェアをインストールしてしまったりします。

ちなみに、元々のWebサイトの内容は、普段通りにブラウザに表示されていますので、ブラウザ上では、該当サイトがマルウェアに感染しているか否かは判断できません。

このため、サイト訪問者は、自分のPCが変な処理を行っていることに全く気が付かないのです。

さらに、Webサイトの改ざんは、トップページだけに限った話ではありません。下位のページも改ざんされていますので、Webサイト全体で注意する必要があります。

また、マルウェアは、Webサイトの改ざんばかりを行う訳ではありません。

マルウェアで管理者用のID/パスワードを盗みとり、その後、盗みとったID/パスワードで管理サーバーにログインし、直接、前述のソースコードの書き換えを行うケースも報告されています。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

■Webサイト「改ざん」の防止方法

Webサイトが「改ざん」される手口に関しては、上記「改ざん手口」で紹介した通りですので、これらの侵入経路を遮断すれば、ほぼ、貴方のWebサイトは安全だと思われます。

それでは、これらの経路からの感染を防止する手段を紹介します。

1．ソフトウェアを最新の状態に更新する

前述のマルウェアの侵入方法で説明した様に、マルウェアはOS、アプリケーション、およびミドルウェアの脆弱性を狙っています。

このため、使用しているソフトウェアに関しては、常に最新版に更新しておく必要があります。

しかし・・・最新版は、使用実績が少ないために、バグが存在する可能性が高いと言うリスクもあります。

つい最近(2014/08/13)も、Microsoftが配布した更新プログラムにバグがあり、「Microsoft Update(旧Windows Update)」で更新プログラムをインストールすると、PCが異常終了すると言う事象が発生したばかりです。

このため、バグの内在と言うリスクと、マルウェアの侵入と言うリスクのどちらのリスクを取るかをご自身で判断して選んで下さい。

私ならバグのリスクを取ります。それは、ソフトウェアのバグなら修正プログラムが配布されるからです。

しかし、マルウェアに感染してしまった場合は、自分で侵入された場所を調べ、除去した上でリカバリーまでしなければならないからです。

バックアップがあれば、感染したファイルを削除し、バックアップ・ファイルをリストアすれば良いのでリカバリーは簡単ですが・・・後はご自身で判断して下さい。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

2．セキュリティ・ソフトウェアを導入しデータを自動更新する

これは必ず実施して下さい。

セキュリティ・ソフトウェアは、通常、PCが稼働中は常に起動状態にあり、マルウェアの侵入を防いでくれます。

しかし、マルウェアの情報を記録しているデータが古いままでは、意味がありません。

もちろん、最新のデータで監視していても、できたてホヤホヤのマルウェアには対応できませんが、それでも、かなりの確率でマルウェアの侵入や感染サイトへのアクセスを防いでくれます。

この項番2の対応と、前述の項番1の対応を行えば、知らない内にマルウェアに感染する危険性を、ほとんど除去できると思います。

これ以降の対応は、あなた自身のPC操作に関わる内容になりますから、あなた自身の行動の仕方に気を付けるだけだと思います。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

3．ファイルのダウンロードは信頼できるサイトから行う

PCを使っていると、便利なツールが欲しくなります。また、各種ホワイトペーパーも必要になるケースも多いと思います。

その際は、やはり信頼できそうなサイトからダウンロードすることをお勧めします。

一番怪しいのは、通常は有償のソフトウェアを、無料でダウンロードできると唱っているサイトです。

有償ソフトウェアを無料で使うのは、ライセンス違反になるので、違法の可能性が高いのですが・・・そこは人間、ついついダウンロードしたくなる気持ちは解ります。

しかし、このようなサイトに用意されているソフトウェアは、マルウェアへの感染を目的にしたソフトウェアである可能性が非常に高いと思われます。

昔から言われている様に、「タダより高い物は無い」と思った方が良いと思います。

一方、「何を基準に信頼できるサイトと認識するのか?」と言う点ですが、ダウンロード・サイトが、ソフトウェアやホワイトペーパーがダウンロードされることで、何らかの利益を得ているサイトは信頼できると思います。

例えば、「Vector」や「杜の窓」等は、無償ソフトウェアを大量に掲載していますが、その他にも有償のソフトウェアを取り扱っています。

このようなサイトで、『 取り扱いソフトウェアにマルウェアが仕込まれていた 』等と言うことが起きた場合、誰も、こんなサイトからはソフトウェアをダウンロードしようとは思わなくなりますので、サイトの死活問題になってしまいます。

これはホワイトペーパーも同様です。

ホワイトペーパーをダウンロードすることで、サイトに何らかの利益をもたらしているサイトは大丈夫だと思います。

後、気を付ける点とすれば、サイトを開いた際に、「あなたのコンピュータはウィルスに感染しています!」等のメッセージを表示し、無料のセキュリティ・ソフトウェアのダウンロードを促すサイトも危ないサイトです。

それと、「あなたのPCの性能をアップします!」等と、美味しそうな宣伝をするサイトも要注意です。

とにかく、前述の「タダより高い物は無い」を肝に銘じて行動して下さい。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

4．不審メールの添付ファイルを開かない

添付ファイルにマルウェアを仕込むのは、攻撃者の常套手段です。

見ず知らずの人からのメール、おかしな日本語のメールに添付されているファイルは、絶対に開いてはいけません。

また、悪質な攻撃者は、社内の同僚を装ってメールを送付してきます。「先日の会議の議事録です」等と、通常の事務連絡メールの振りをして、マルウェアを仕込んだファイルを送ってきます。

一昔前であれば、添付ファイルの拡張子を確認し、拡張子が「.exe」の場合、マルウェアを仕込んだ実行ファイルであると簡単に認識できたのですが・・・現在では、拡張子を「.docx」や「.xlsx」等、WordやExcelファイルに偽装する手口もあります。

この様な手口で送られてきたファイルがマルウェアか否かを判断するのは難しいのですが、次の方法で確認できるケースもあります。

ダウンロードしたファイルを、拡張子ではなく「ファイルの種類」で判定する方法です。

右の画像は、PDFファイルを装ったexeファイルです。

アイコンはPDFになっていますが、ファイルの種類は「アプリケーション」となっています。

このように、段々と手口が巧妙になって来ていますので、十分に注意して下さい。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

5．他人の外部機器は接続しない

マルウェアの侵入手口にも記載しましたが、USB等の外部ストレージにもマルウェアは存在します。

また、質が悪いのは、Windowsの「Auto-Run」機能を悪用し、PCにUSBが差し込まれただけで、マルウェアをPCに仕込むプログラムを自動実行させるマルウェアの存在です。

「Auto-Run」機能とは、自動再生と呼ばれる機能で、PC起動中にCDやUSBを接続した場合、その中に「Autorun.exe」等のファイルが含まれていると、自動でファイルを読み込む機能です。

さらに、質が悪いのは、マルウェアの中には、PCに感染し、そのPCにUSBが差し込まれると、差し込まれたUSBに感染するタイプのマルウェアも存在します。

このようなマルウェアを「USBウィルス」とも読んでいますが、この「USBウィルス」の流行を受け、Windowsの「Auto-Run」機能を無効にすることが推奨されるようになっています。

しかし、「Auto-Run」機能を無効にするのは結構難しいので、PC操作に熟練している管理者に行ってもらった方が良いと思います。

参考までに、Microsoftのサイトを掲載して置きます。

★Windows の自動実行機能を無効にする方法(http://support.microsoft.com/kb/967715/ja)

また、Windowsには、「Auto-Run」機能の起動方法を制限する方法もあります。コントロール・パネルを開き、「自動再生」を選ぶと、メディアやデバイス毎に自動再生の仕方を設定できます。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

6．ファイル共有ソフトウェアの使用を止める

これは「言わずもがな」だと思いますが、「ファイル共有ソフトウェア」の使用は止めて下さい。

「ファイル共有ソフトウェア」は、インターネット経由で、不特定多数の人とファイルのやり取りを行うソフトウェアです。

上記のように、不特定多数の他人とファイル交換を行う訳ですから、意図しているか否かは別として、ファイルにマルウェアが感染している可能性が高くなります。

メールの添付ファイルの危険性でも触れましたが、ファイルの拡張子を偽装したマルウェアが送られてくるかもしれません。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

7．HTML形式のメールは受け取らない

メールに関しては、テキスト形式のメールとHTML形式のメールがあることはご存知ですか?

テキスト形式のメールとは、文字だけで構成されているメールです。普段やり取りしているメールは、そのほとんどがテキスト形式です。

これに対して、通販サイト等から送付されてくるメールで、ホームページの様に、商品画像が見られるメールがHTML形式のメールになります。

HTML、つまりホームページと同様ですから、メール内にスクリプトと呼ばれるプログラムを組み込むことが可能です。

このため、このスクリプト形式のプログラムでマルウェアを仕込むことが可能ですから、一部のメール・ソフトウェアでは、スクリプトを自動実行するソフトウェアもありますので、この場合、メールをプレビューしただけでマルウェアに感染してしまいます。

受信したメールを、テキスト形式だけで表示する方法もあります。Outlook2013の場合は、次の手順でHTML形式のメールを、強制的にテキスト形式に変換することが可能です。

Outlook起動 → ファイル・タブ選択 → オプション選択 → セキュリティ センター選択 → 「セキュリティ センターの設定」ボタンをクリック → 電子メールのセキュリティ選択

上記操作で右の画面になりますので、赤枠の部分のように設定すれば、HTML形式メールもテキスト形式で表示されますので、スクリプトは実行されません。

しかし・・・既にお解りだと思いますが、画像が表示されず、HTMLのソースコードが表示されますので、何がなんだか解らないメールになってしまいます。

このため、Outlook2013を使用している場合、次の様な操作を行えば良いと思います。

・通常は、強制的にHTML形式メールをテキスト形式で表示する
・信頼できる会社からのメールの場合、該当メールを開き、左の画像の赤枠をクリックして「HTMLとして表示」をクリックする

この操作を行えば、該当メールはHTML形式になりますので、画像を見ることが可能になります。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

8．信頼できないマクロは実行しない

Microsoft社のOffice製品の一部では、マクロ、あるいはVBA(※)と呼ばれるプログラムを提供しています。

このプログラムでは、独自の操作をプログラミングすることで、処理の自動化等を行うことが可能になっています。

と言いますか、弊社でも、VBAでプログラムを沢山作成し、お客様に納品しています。

しかし、世の中には、このVBAを悪用し、マルウェアを作成している人も沢山存在しています。

VBAは、非常に高度なプログラミングができるので、ファイルの削除や書き換え、あるいはPC自体を乗っ取る事も可能です。

このため、マルウェアに感染した、あるいはマルウェアを組み込んだOfficeファイルを開くだけで、PCにマルウェアを感染させることができます。

これらVBAで作成されたマルウェアを「マクロウィルス」と読んでいますので、信頼できないサイト、あるいは他人からOffice製品を取得した場合には、注意する必要があります。

VBAが組み込まれているファイルを開くと、通常は、上図の様に、VBAを有効にするか否かを確認するメッセージが表示されます。

この時に、「コンテンツの有効化」ボタンをクリックしなければVBAは有効になりませんので大丈夫です。

しかし!! マルウェアを侵入させようとする攻撃者は、こんな「生易しい手段」は取りません。

VBAには、ファイルを開いたとたんにマクロを実行する機能(Auto_Open)がありますので、マルウェア感染を狙う攻撃者は、自動実行機能を使用すると思います。

私が攻撃者ならば、VBAに自動実行機能を取り入れて、ファイルを開いた時点で、ウィルス感染するようにすると思います。

Officeには、前述のOutlookでも説明した「セキュリティセンター」と言うオプションが用意されており、そこでマクロの有効/無効を設定することができます。

この設定は、通常「警告を表示してすべてのマクロを無効にする」となっていますので、上の画像のようなメッセージが表示されます。

この設定を「警告を表示せずにすべてのマクロを無効にする」と言う設定にすれば、マクロは全て無効化されます。

しかし!!! この設定さえ無視して強制的に有効にする方法もあります。

全く「イタチごっこ」の様ですが、Officeには「セーフモード」と言う機能が用意されており、この「セーフモード」でファイルを開けば、他にも様々な制限はありますが、取り敢えずマクロは起動しません。

また、ExcelのバージョンやOS、あるいは動作環境によって違いがあるようですが、次の方法でファイルを開くと、マクロの起動を抑止できます。

・該当ファイルをポイントする(選択状態)
・「Shiftキー」を押しながらファイルを開く(「Shiftキー」を押しながらダブルクリック)

最後に、「セーフモード」の説明ページのURLを掲載して置きます。

★Office セーフ モードで起動する方法(http://support.microsoft.com/kb/881075/ja)

とにかく、信頼できないファイルは無闇に開かないのが一番安全です。

※VBA：Visual Basic for Applicationsの略。Word/Excel/PowerPoint/Outlook/Accessに実装可能。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

ここまでWebサイトを「改ざん」されないための様々な情報を紹介してきましたが、如何でしたか?

マルウェアが怖くてインターネットなど使えなくなってしまいそうですが、最低限、セキュリティ・ソフトウェアを導入し、ソフトウェアを最新の状態に保っておけば、ほぼ大丈夫だと思います。

後は、次の点を注意して下さい。

●怪しいサイトを訪問しない
●怪しいファイルはダウンロードしない
●怪しいメールは開かない

これだけ守っていれば大丈夫です。とにかく、攻撃者に対して、隙さえ見せなければ大丈夫です。

インターネットは、仕事や生活を一変させましたが、注意して使い続ければ、これからも、もっと便利になると思います。

ご精読、ありがとうございました。

以上

【画像/動画・情報提供先】
・独立行政法人情報処理推進機構(http://www.ipa.go.jp/index.html)
・総務省(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html)
・Webアプリにおける11の脆弱性の常識と対策(http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html)
・基礎から学ぶ！サイバー攻撃対策のポイント(http://itpro.nikkeibp.co.jp/article/Active/20140123/531823/?act05)

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
   　　　　　： http://msystm.co.jp/excel_top.html
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc