標的型攻撃メールには、不正なドキュメントファイルが添付されていることが多い。そのような標的型攻撃メールからクライアントパソコン(PC)を守るためのツールを、本連載ではこれまでに2種類紹介している。
・ EMET(EMETを利用した標的型メールの防御)
http://itpro.nikkeibp.co.jp/article/COLUMN/20111205/375561/
・ Officeファイル検証(不正に細工されたOfficeファイルからクライアントPCを守る「Microsoft Officeファイル検証」 )
http://itpro.nikkeibp.co.jp/article/COLUMN/20110516/360357/
今回は、新たに「MOICE」(Microsoft Office Isolated Conversion Environment)と呼ばれるツールと、その効果について解説する。
■XML変換で攻撃を回避
MOICEは、マイクロソフトがリリースしているOfficeファイルを開く際にファイルをバイナリー形式(Microsoft Office 2003以前のフォーマット)からXML形式(Microsoft Office 2007以降のフォーマット)へ変換するツールである。Microsoft Office の脆弱性を悪用する不正なファイルの多くはバイナリー形式であるため、脆弱性を悪用する不正なファイルを無効化することができる。
MOICEでXML変換できるアプリケーションは、Microsoft Office 2003と同2007である。ツールをインストールするには、まずMicrosoft UpdateにてMicrosoft Officeの最新のパッチが適用されていることを確認する。適用されている場合は、次に以下のURLからWord/Excel/PowerPoint 用 Microsoft Office 互換機能パックをインストールする。
http://www.microsoft.com/downloads/ja-jp/details.aspx?displaylang=ja&FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&pf=true
インストール作業を終えたら、ツールを有効化する。具体的には、コマンドプロンプトから以下のコマンドを入力し、どのMicrosoft Officeファイルの識別子を検査対象にするのかをコマンドラインからひも付ける。これで、ひも付けた拡張子のファイルを開く際にMOICEが動作するようになる(MOICEを無効にする方法ついては、マイクロソフトのページを参照 http://support.microsoft.com/kb/935865/ja)。
[Microsoft Word]
ASSOC .DOC=oice.word.document
[Microsoft Excel]
ASSOC .XLS=oice.excel.sheet
ASSOC .XLT=oice.excel.template
ASSOC .XLA=oice.excel.addin
[Microsoft PowerPoint]
ASSOC .PPT=oice.powerpoint.show
ASSOC .POT=oice.powerpoint.template
ASSOC .PPS=oice.powerpoint.slideshow
MOICEを有効にした状態で、不正なMicrosoft Office ファイルを開こうとすると、以下のような警告が表示され、ファイルを開かずにアプリケーションを終了する。
