Access を使ったダウンローダについて
Access のファイルの一つである拡張子「.accde」を使ったダウンローダについて説明されていました。
ばらまきメールでは Word や Excell にマクロを埋め込み悪用している場合が多くあります。 これらの多くは「コンテンツの有効化」がされない限りマクロが実行されないため、 ファイルを開いた時点でおかしいことに気づくことができれば感染には至りません。
このブログでは 通常利用される拡張子「.accdb」とそれとは別の拡張子「.accde」について 説明がされており、拡張子「.accde」では警告が1回だけされるものの、 そこで開くを選択してしまうとマクロが実行されると書かれていました。
これについて記事などを参考に手元の環境で挙動を確認してみました。 なお、マクロは単に電卓を起動するだけのものとしました。
拡張子「.accdb」の場合
ファイルを開いてすぐのダイアログを閉じた上で「コンテンツの有効化」をクリックしない限り電卓は起動しません。 この場合、利用者が気をつけることでファイルにマクロが含まれていることを把握できます。
拡張子「.accde」の場合
ファイルを開いてすぐの警告ダイアログで「開く」を選択した場合、直後に電卓が起動されています。
また2つの拡張子では、マクロ実行をキャンセルしたときの挙動にも違いがありました。
マクロ実行を拒否した場合の挙動
拡張子「.accdb」では、マクロを実行しない場合であってもデータの内容を表示させられるため、マクロを実行せずともデータの中身を確かめることができます。
一方、拡張子「.accde」では、警告ダイアログをキャンセルとしてしまうとファイル自体が閉じてしまい、データの中身を確認することができません。
この違いはファイルを開くための強い動機がある場合(例えばこのファイルがメール等添付されていた場合、その文面から重要なファイルであると認識してしまったなど)には 受け取った側が警告を無視してファイルを開く可能性を高くすると思います。
通常の業務で拡張子「.accde」を利用しない場合には、禁止拡張子としてもいいかもしれません。
蛇足:「コンテンツの有効化」の記録について
コンテンツの有効化は、一度許可をするとファイルパスが以下のレジストリに記録され、次回から聞かれることがなくなります。
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Access\Security\Trusted Documents\TrustRecords
なお、上記レジストリパスの「Access」には 各Office 製品の名称(「Word」や「Excel」など)が入ります。
参考サイト
挙動確認用のサンプルファイルは冒頭のサイトのほか、以下を参考に作成しました。
- Microsoft Access Macro (.MAM) 快捷方式钓鱼测试 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
更新履歴
- 2018/07/14 新規作成
- 2020/03/19 タイトルと表示崩れを修正。