メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも

情報処理推進機構（IPA）は、「wiz」の拡張子を持つウィザードファイルを悪用した攻撃手法が9月に公開され、メール経由の攻撃も確認しているとして注意を呼びかけている。

同機構によれば、「wizファイル」を用いた攻撃は、拡張子「doc」などを持つWordファイルと同様、マクロを悪用する手口。拡張子「wiz」は、一般的にWordに関連付けられており、ダブルクリックするとWord上で開かれる。

誤ってファイルを開いた場合も、マクロを悪用する手口であるため、Officeに用意された「保護ビュー」で表示されている間は攻撃は成立せず、マルウェアへの感染は防げる。

一方、ファイルを開いた際に表示される「マクロを有効にする」「コンテンツの有効化」といったボタンでマクロの動作を許可してしまうとマルウェアへ感染するおそれがある。

マクロを有効にしなければ、マルウェア感染は防ぐことが可能（画像：IPA）

すでに同機構では、添付ファイルとしてメールで送りつける攻撃を確認。同ファイルをダウンローダーとして利用し、別のマルウェアへ感染させようとしていたという。現時点で日本語を用いたメールは確認されていないが、今後国内に攻撃が拡大するおそれもある。

同機構では、マクロやコンテンツの有効化を尋ねるダイアログが表示されても、安易に有効化せず、システム管理部門などへ相談するよう注意を喚起。

悪意あるファイルでは、保護ビュー上で表示される本文に、「閲覧のためにはコンテンツの有効化が必要」などともっともらしいメッセージを記載し、マクロを有効化させるソーシャルエンジニアリングも多用されており、本文の記載内容にも惑わされないようにする必要がある。

今回「wizファイル」について注意喚起が行われたが、他ファイル形式を悪用するケースもあり、同機構は、意味がわからない警告が表示された場合は、操作は中断するようアドバイス。

また同機構はOSやアプリケーションにおける脆弱性の解消や、出所のわからない添付ファイルを安易に開かないなど、基本的な対策についても実施するよう呼びかけている。

（Security NEXT - 2018/10/30 ）ツイート