Excelは「信頼できるツール」という思い込みを捨てる
2022年11月、セキュリティ業界では、Excelの「マクロ」を悪用した攻撃手法が新たな局面を迎えました。かつてのマクロウイルスは、開いた瞬間に実行されるものが主流でしたが、現在は攻撃者が「人間心理」を巧みに操る「偽の指示(ソーシャルエンジニアリング)」をExcel内に書き込む手法が主流です。
例えば、「このファイルの内容を表示するには、上の『編集を有効にする』ボタンを押し、次に『コンテンツの有効化』を押してください」といった、もっともらしい指示が書かれたシートを最初に見せる手口です。これは、セキュリティ機能である「保護ビュー」や「ブロック機能」を、ユーザー自身に解除させるための罠です。
なぜ「偽の指示」が実務で成功してしまうのか
実務現場において、これらの攻撃が成功してしまう最大の要因は、業務上の「慣れ」です。私たちは日常的に、社内システムからダウンロードしたレポートや、取引先から送られてくる請求書をExcelで開いています。
「いつも通り操作すれば中身が見られる」という期待があるため、Excelが表示する「セキュリティ警告(黄色いバー)」を、単なる「作業の邪魔な手順」として認識してしまいます。攻撃者はこの心理の隙を突き、警告画面を隠すための画像を重ねたり、警告を無視させるための図解をファイル内に配置したりします。これは技術的な脆弱性を突く攻撃というより、ユーザーの業務フローを逆手に取った心理的なハッキングといえます。
実務現場で今すぐ取り入れるべき3つの防衛策
では、私たちはどのようにしてこの偽の指示を見抜き、防ぐべきでしょうか。以下の3点を組織のルールとして徹底してください。
1. 「警告」の発生を前提とする意識改革
Excelが黄色いバーで警告を出している場合、それは「そのファイルは安全である」という証明ではなく、「不明なコードが含まれている」という明示的な拒絶です。「編集を有効にする」ボタンを押し、さらに「コンテンツの有効化」を押すという二段階の操作が必要なファイルは、原則として疑うというルールを徹底してください。
2. マクロの実行権限をGPOで制限する
組織として最も有効な対策は、技術的にマクロの実行を制御することです。「インターネットから取得したOfficeファイルのマクロをブロックする」設定を、グループポリシー(GPO)で全端末に適用してください。これにより、ユーザーが誤ってボタンを押そうとしても、そもそも実行できない環境を強制的に構築できます。
3. 業務フローの「脱・Excel」
もし、そのファイルが「ただ閲覧するだけ」のものであれば、Excel形式ではなくPDF等でやり取りする運用へ切り替えるべきです。マクロが実行可能な形式である必要性自体を問い直すことが、結果として最も堅牢なセキュリティ対策となります。
結論:指示は「外」から確認する
最後に、最も重要な原則を伝えます。もしファイル内に「有効化してください」といった指示が書かれていた場合、その指示自体を信用してはいけません。
もし不明なファイルが届いたなら、ボタンを操作する前に、送信元へ「このファイルにはマクロが含まれていますが、実行する必要はありますか?」とメールや電話で確認してください。その確認の手間こそが、現在考えうる最も強力なセキュリティ対策です。技術的な守りを固めつつ、最後は「確認の習慣」で締める。これが現代のIT実務における正解です。
コメント