Skip to main content
MSRC

ちょっといいセキュリティの資料とツール その 2 - MOICE (標的型攻撃メール対策に効果あり)

2011 年、特定の企業や政府機関を標的とした標的型攻撃メールが数多く見られました。その手法として、メールに実行形式ファイルや文書ファイル(PDF、Word など)を添付し、ユーザーを騙してファイルを開かせ、PC にマルウェアを感染させることによって機密情報を盗むという手法が見られました。

標的型攻撃メールでは、詐欺的手法やソフトウェアの既知の脆弱性が悪用されることが多く、その対策方法として、従業員の教育とすべての PC にセキュリティ更新プログラムを素早く確実に適用することが最も有効です。しかし、万がいちのゼロデイ攻撃 (※1) に備えたい、より Microsoft Office 製品のセキュリティを強化したいという場合、マイクロソフトが提供する MOICE が有効です。

MOICE とは?

MOICE (Microsoft Office Isolated Conversion Environment) は、Microsoft Office のセキュリティ機能で、古い Office 97-2003 形式ファイル (doc, xls, ppt) を Open XML フォーマット (docx, xlsx, pptx) に変換します。これにより、悪意のあるソフトウェアを埋め込んだ Office ファイルの脅威から身を守ることができます。

標的型攻撃に使用される Office 文書のほとんどが古い Office 97-2003 形式です。その理由は、Office 2007 以降の形式は XML 書式となっておりマルウェアをファイルに埋め込むことが非常に困難なためです。MOICE を有効にすると、ファイルを開く際に自動的に Office 97-2003 形式 から XML 書式に変換されるため、ファイル中にマルウェアが含まれていた場合でも、図 1 のダイアログボックスを表示し被害を未然に防ぐことができます。

The converter failed to complete the current operation ~~~~

図 1. MOICE でマルウェアが含まれたファイルを開いたときに表示されるダイアログボックス

MOICE の効果

2011 年、マイクロソフトは、Office 2003、Office 2007、Office 2010 の脆弱性をそれぞれ 24 件、23 件、11 件 修正しました (※2)。MOICE および DLL プリロードの対策を事前に実施しておくことで、仮にセキュリティ更新プログラムをインストールしていなかったとしても、図 2 のように約 9 割近くの脆弱性の悪用を防ぐことができます。そのため、ゼロデイ対策にも有効です。

図 2 . 2011 年、マイクロソフトが公開した Office の脆弱性のうち MOICE と DLL プリロード対策の効果の内訳

なお、2011 年に確認された標的型攻撃メールで、Office の脆弱性で悪用されたものの多くは、RTF のスタック バッファ オーバーフローの脆弱性 (CVE-2010-3333 の脆弱性) でした。この脆弱性も MOICE により悪用を防ぐことができます。

MOICE の展開

MOICE を展開するには、以下の条件を両方満たしている必要があります。

また、MOICE 機能を有効にするには、コマンド プロンプトで下記のコマンドを実行する必要があります。社内で展開するには、グループポリシーを活用するとよいかもしれません。

MOICE を有効にするには、コマンド プロンプトから次のコマンドを実行します。

Word 用 ASSOC .doc=oice.word.document
Excel 用 ASSOC .XLS=oice.excel.sheetASSOC .XLT=oice.excel.templateASSOC .XLA=oice.excel.addin
PowerPoint 用 ASSOC .PPT=oice.powerpoint.showASSOC .POT=oice.powerpoint.templateASSOC .PPS=oice.powerpoint.slideshow

MOICE を無効にするには、コマンド プロンプトから次のコマンドを実行します。

Word 用 ASSOC .doc=Word.Document.8
Excel 用 ASSOC .xls=Excel.Sheet.8ASSOC .xlt=Excel.TemplateASSOC .xla=Excel.Addin
PowerPoint 用 ASSOC .ppt=PowerPoint.Show.8ASSOC .pot=PowerPoint.Template.8ASSOC .pps=PowerPoint.SlideShow.8

MOICE を使う上での注意点

  • MOICE を使うとファイル変換処理が動作するため、大きなファイルを開くのに若干時間がかかる場合があります。
  • Office ファイル検証機能を有効にしている場合でも、先に MOICE が動作します。もし MOICE で検知できない場合、Office ファイル検証機能が動作します。(Office ファイル検証機能は Office のセキュリティ機能です。詳細は、KB 2501584 をご参照ください。)

まとめ

標的型攻撃メールに対応するには、教育、適切なアップデートが重要ですが、MOICE などのセキュリティ機能を使うことにより、よりシステムを安全にすることができます。ぜひ MOICE を活用してみてはいかがでしょうか?

※1:セキュリティ更新プログラムが存在しない状況で攻撃が行われること
※2:2011 年に公開された、Excel、PowerPoint、Office の脆弱性の数を含めています。ここでは、標準でインストールされていない Visio、Publisher の脆弱性は含めていません。

更新 2012/2/1

MOICE を無効にする方法の訂正 : 「ASSOC .PPS=oice.powerpoint.slideshow」 -> 「ASSOC .pot=PowerPoint.Template.8」


How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.