T1204.002 Malicious Fileとは？MITRE ATT&CK日本語解説

T1204.002Tactic: Execution (TA0002)|ATT&CK v16|非公式日本語解説

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

メールに添付されたExcelファイルを開いたら感染した——この典型的な攻撃パターンは、MITRE ATT&CKでT1204.002 Malicious Fileとして体系化されています。Office文書のマクロ、偽のPDF、二重拡張子の実行ファイルなど、攻撃者はさまざまな手口でユーザーに悪意あるファイルを実行させます。本記事では、Malicious Fileの攻撃手法、検出方法、実務で有効な緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報
概要
攻撃シナリオ例
検出方法
緩和策（Mitigations）
1. 実務での推奨対策
関連するSub-techniques
1. 攻撃チェーンにおける関連テクニック
おすすめセキュリティ対策ツール
まとめ
参考文献

ATT&CK情報

ATT&CK ID	T1204.002
Tactic	Execution（実行 / TA0002）
対応バージョン	ATT&CK v16
対応プラットフォーム	Windows / macOS / Linux
親テクニック	T1204 User Execution

概要

T1204.002は、T1204 User ExecutionのSub-techniqueです。攻撃者はソーシャルエンジニアリングを使って、ユーザーに悪意あるファイルを開かせ、コードを実行させます。ファイルの種類は多岐にわたり、Office文書（マクロ付きWord/Excel）、PDF、ISO/IMGディスクイメージ、LNKショートカット、実行ファイル（.exe、.scr）、スクリプトファイル（.js、.vbs、.ps1）などが使用されます。

この手法はT1566.001（Spearphishing Attachment）と密接に関連しています。T1566.001がメール経由での配信（Initial Access）を指すのに対し、T1204.002はユーザーがファイルを開いて実行する行為（Execution）を指します。攻撃チェーンでは、T1566.001 → T1204.002 → T1059（スクリプト実行）という流れが典型的です。

近年はMicrosoftがインターネットからダウンロードしたOffice文書のマクロをデフォルトでブロックするようになったため、攻撃者はISO/IMGファイル、OneNote添付ファイル、LNKショートカットなどマクロに依存しない手法に移行する傾向が顕著です。

攻撃シナリオ例

Emotet — Office文書マクロによる感染チェーン

Emotetの代表的な感染チェーンは、業務メールを装ったOffice文書の添付ファイルです：

請求書や見積書を装ったWord/Excelファイルがメールで配信される
ユーザーがファイルを開くと「コンテンツの有効化」を促す画面が表示される
ユーザーが「コンテンツの有効化」をクリックすると、VBAマクロ（T1059.005）が実行される
マクロがPowerShell（T1059.001）を起動し、C2サーバーからEmotet本体をダウンロード・実行

Qakbot — ISO/LNKファイルによるマクロ回避

Microsoftのマクロブロック後、QakbotはISOファイルを使った新しい感染手法に切り替えました：

メールにISOディスクイメージファイル（または ZIP内のISO）が添付される
ユーザーがISOをダブルクリックするとWindowsが仮想ドライブとしてマウント
仮想ドライブ内のLNKショートカットをユーザーがクリック
LNKがcmd.exe（T1059.003）またはregsvr32.exeを起動してDLLを実行

ISOファイル内のファイルにはMark of the Web（MOTW）が付与されないため、SmartScreenによる警告を回避できる点が攻撃者にとっての利点でした（Microsoftは後にこの問題を修正）。

OneNote添付ファイル攻撃

2023年以降、OneNote（.one）ファイルを使った攻撃が急増しました。OneNoteファイル内にスクリプトやバッチファイルを埋め込み、「Double click to view document」等のボタンに偽装して実行させます。OneNoteはマクロブロックの対象外であったため、マクロの代替手段として注目されました。

検出方法

メールゲートウェイ

添付ファイルのサンドボックス解析: Office文書、PDF、ISO/IMG、OneNoteファイルを動的解析し、マクロ実行や外部通信を検出
危険な拡張子のブロック: .exe、.scr、.js、.vbs、.iso、.img、.one等の危険な添付ファイルをポリシーでブロック
パスワード付きZIPの制限: サンドボックスを回避するためのパスワード付き添付を追加検査対象に

エンドポイント監視

Officeプロセスの子プロセス監視（Sysmon Event ID 1）: WINWORD.EXE/EXCEL.EXE/ONENOTE.EXEからcmd.exe、powershell.exe、wscript.exe、mshta.exe等が起動された場合は高確度アラート
ISOマウントの監視: explorer.exeによるISOマウント後のLNK実行チェーンを検出
Mark of the Web（MOTW）の確認: Zone.Identifier ADS（代替データストリーム）の有無を確認し、MOTW回避の試みを検出

Windowsイベントログ

Sysmon Event ID 1: プロセス生成（親プロセスがOfficeアプリケーション）
Sysmon Event ID 11: ダウンロードフォルダ/Tempフォルダへのファイル作成
Sysmon Event ID 15: ダウンロードされたファイルのADS（Zone.Identifier）作成
Event ID 4688: コマンドライン引数付きプロセス生成の監査

緩和策（Mitigations）

ID	緩和策名	概要
M1038	Execution Prevention	AppLocker/WDACで未承認ファイルの実行をブロック
M1040	Behavior Prevention on Endpoint	EDRでOfficeからの不審な子プロセス起動をブロック
M1017	User Training	不審な添付ファイルの識別と報告手順を定期訓練で教育
M1031	Network Intrusion Prevention	メールゲートウェイで危険な添付ファイルをフィルタリング
M1042	Disable or Remove Feature or Program	Officeマクロの無効化（インターネット取得ファイル）、不要なスクリプトエンジンの無効化

実務での推奨対策

Officeマクロの全社ブロック: グループポリシーでインターネットからダウンロードされたOfficeファイルのマクロをブロック（Microsoft推奨設定）
ASR（Attack Surface Reduction）ルール: Microsoft Defender ASRルールで「Officeアプリケーションによる子プロセスの作成をブロック」を有効化
危険なファイル拡張子のブロック: メールゲートウェイで.iso、.img、.vhd、.one、.exe、.scr等を添付ブロック
AppLocker/WDAC: ダウンロードフォルダ、Tempフォルダ、ユーザープロファイルフォルダからの実行ファイル起動をブロック
定期的なフィッシング訓練: 添付ファイル型のフィッシングシミュレーションを四半期ごとに実施

まとめ

T1204.002 Malicious Fileは、悪意あるファイルをユーザーに開かせて実行させる手法であり、最も一般的な初期侵入パターンの一つ
Office文書マクロからISO/LNK/OneNoteなどマクロに依存しない手法に攻撃トレンドが移行している
Officeマクロブロック、ASRルール、AppLocker/WDAC、危険な拡張子のメールフィルタリングが有効な対策
Sysmonによるプロセス監視で、Officeプロセスからの不審な子プロセス起動を検出できる

参考文献

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。