標的型攻撃対策②(Office設定見直し)

標的型攻撃の起点となる攻撃は、メールに添付された不正なファイルを利用者に開かせることで攻撃を開始するというのが定番です。

(標的型対策としてのメールソフトの設定については前回を参照してください。)

 

一昔前は、こういった不正なファイルは実行形式(exe等)やZIPファイル等の圧縮ファイルが多かったのですが

最近(特にこの数か月)は、マクロ付のMS-Office系のファイルが急増しているようです。

※標的型攻撃の場合、マクロ自体は悪意ある振る舞いをする実マルウェアをダウンロードさせるための入口として悪用されることが多いようです。

 

なので、Office系のファイルがメールで添付されている場合は、安易に開かないことが一番大事です。

が、万が一開いてしまった場合、マクロが実行されないような設定をしておくことも大事になります。

 

2007以降のOfficeの場合、マクロの設定は初期値で

警告を表示してすべてのマクロを無効にする(デフォルト)

office

となっているので、マクロ付ファイルを開いたとしても、以下のような警告がでるだけで、「コンテンツの有効化」を押さない限りマクロは実行されません。

macro

じゃあ、この初期値のままで大丈夫 と思いがちですが

普段の業務で、マクロ付のファイルを利用しない人は、この警告がでると「怪しい」と気づけますが、

普段からマクロ付のファイルを利用している人は、「コンテンツの有効化」がでたら、「押す」というのが習慣になってしまいます。

そのため、ついついボタンをポチッとしてしまい、標的型攻撃に感染する という事態になってしまいます。

 

そのため、マクロの設定は

「警告を表示せずにすべてのマクロを無効にする」 または 「デジタル署名されたマクロを除き、すべてのマクロを無効にする」

office2

にすることをお勧めします。この設定場合、上記のようなミスを防ぐことができます。

 

ただ、この設定の場合だと、安全なマクロや自分で作ったマクロも使えなくなってしまうので、そういった場合、のマクロファイルを置く場所を決め

[信頼できる場所]

に登録することで、「警告を表示せずにすべてのマクロを無効にする」 設定の制限をうけずにマクロを開くことができます。

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です