「メールに添付されているWordファイルを開いたところ、ウイルスに感染してしまった」という話は枚挙にいとまがない。そのほとんどがマクロウイルスによるものだ。

 米マイクロソフト(Microsoft)が提供するWordやExcelといったOfficeソフトは、マクロという機能を備えている。本来は、プログラムによって自動的に処理を行うものだが、マクロウイルスはこの機能を悪用してユーザーのパソコンに感染する。

 もっとも、最近のOfficeではマクロがなるべく実行されないようになっている。例えば、インターネットからダウンロードしたOffice文書はデフォルトでマクロ機能が無効になっており、ユーザーが明示的に指定しなければマクロは実行されない。

 ところが最近、マクロを使わずにOffice文書でウイルスに感染させる手法が発見された。Windows 8から導入された「SettingContent-msファイル」(設定コンテンツファイル)を悪用するものだ。このファイルは「.settingcontent-ms」という長い拡張子を持ち、ショートカットファイルの拡張子「.lnk」などと同様にWindows上では拡張子は表示されない。実行すると、Windowsの各種の設定画面を呼び出せる。

 SettingContent-msファイルの実体はXMLファイルだ。その中に「DeepLink」という要素があり、この要素にコードを記述できる。通常は設定画面を呼び出すコードが記述されているが、任意のコードに書き換えられる。このため、攻撃者が書き換えたSettingContent-msファイルをOffice文書に埋め込み、ユーザーに実行させることで、任意のコードが実行されてしまう。

Windowsの電卓の起動に成功

 では、Windows 10を使ってこの攻撃手法を実際に試してみよう。

 SettingContent-msファイルは「C:¥Users¥<ユーザー名>¥AppData¥Local¥Packages¥windows.immersivecontrolpanel_cw5n1h2txyewy¥LocalState¥Indexed¥Settings¥ja-JP」というフォルダーに用意されている。様々な設定画面を呼び出すファイルがある。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら