近年、手口が巧妙化するサイバー攻撃の中でも、業務で日常的に利用するOffice製品を悪用した「マクロを入口とする攻撃」が再び注目されています。かつて流行した古典的なマクロウイルスとは仕組みが異なり、現在はマクロを利用して別のマルウェアを侵入させる手法が多く確認されています。
この記事では、マクロに関連する脅威の基礎知識から、感染経路、被害の例、予防策、そして感染の疑いがある場合の対処方法までを分かりやすく解説します。
WordやExcelを利用するビジネスユーザーにとって重要なポイントを整理してお伝えします。
マクロウイルスとは
マクロウイルスとは、Microsoft Office製品に搭載されているマクロ機能を悪用し、WordやExcelなどの文書ファイルを通じて不正な動作を実行させる攻撃の総称です。かつては、文書内のマクロ自体がウイルスとして自己増殖する手法が主流でした。
一方、現在ではマクロを入口として、別のマルウェアを侵入させる攻撃が中心になっています。
業務文書を装って感染が広がる点が特徴で、企業利用者にとって注意が必要な脅威です。
マクロウイルスを理解するための前提知識
マクロウイルスの内容に入る前に、まず前提となる「マクロ」についてだけ簡単に触れておきます。というのも、マクロウイルスは「マクロという正規機能を悪用した攻撃」であるため、マクロそのものの仕組みを軽く理解しておくことで、このあとの説明がより分かりやすくなります。
必要な部分だけを簡潔に説明しますので、ご安心ください。
マクロとは
マクロとは、Microsoft Office製品に搭載されている、業務を自動化して効率化するための正規の機能です。繰り返し作業を自動で処理したり、複数の操作をワンクリックで実行したりできるため、経理・営業・管理部門など多くの現場で利用されています。
本来は生産性を高めるために使われる便利な仕組みであり、多くの企業で日常的に活用されているのが特徴です。 一方で、マクロには「ファイルを開いた際に自動で処理を実行できる」という強力な性質があり、悪用される余地もあります。
この性質は正しく使うと業務効率化につながりますが、攻撃者が悪用すると不正な動作を行わせることも可能になります。
このように、利便性とリスクが両立している点が、マクロに関連するセキュリティ対策が重要とされる理由です。
📌 補足:「マクロが入る拡張子(.docm / .doc)に注意
Wordファイルには、見た目は似ていても 中身の仕組みがまったく違う拡張子があります。
この違いを知らないと、マクロを悪用した攻撃に引っかかりやすくなります。
※ 覚えておきたいポイント
- .docx はマクロを含められない(標準・安全寄り)
- .docm はマクロを含められる(現代の攻撃で多用)
- .doc は古い形式だが、今でもマクロが動作する可能性あり
拡張子を見るだけで、「通常の文書か」「マクロに注意すべきか」を判断できるようになります。
※ .docxはマクロを含めることはできませんが、文書内のリンクをきっかけに別の攻撃へ誘導されるケースもあるため、マクロとは別の観点で、出所が不明な添付ファイルには注意が必要です。
※ ExcelやPowerPointも同様
Wordだけでなく、Excel や PowerPoint にもマクロ対応形式があります。
- Excel:.xlsx(マクロなし)/.xlsm(あり)
- PowerPoint:.pptx(なし)/.pptm(あり)
拡張子を確認する習慣が、マクロ攻撃を防ぐ第一歩になります。
古典的マクロウイルスとは(昔の攻撃)
古典的マクロウイルスは、Word や Excel の文書ファイルに組み込まれたマクロがウイルス本体となり、 開くだけで自己増殖しながら感染を広げるタイプの攻撃です。1990年代後半に流行し、標準テンプレート(Normal.dot など)が書き換えられることで、 新しく作成された文書に次々と感染が広がる特徴を持っていました。
ファイルの見た目は通常の業務文書と変わらず、利用者が気付かないまま感染が進む例が多く見られました。
古典的マクロウイルスの特徴
文書ファイルそのものがウイルス本体として機能します。利用者が文書を開くとマクロが自動的に実行され、テンプレートを書き換えることで自己増殖が発生します。
メール共有フォルダなどで広がりやすい性質も持っており、当時は急速に感染が拡大しました。
現代のマクロ悪用攻撃とは(今の攻撃)
現在の攻撃は、マクロ自体がウイルスになるのではなく、 マクロを「入口」として外部から別のマルウェアを取り込ませる点が大きな特徴です。攻撃者は請求書や業務連絡を装った Office ファイルを送り、 利用者がマクロ実行を許可した瞬間に外部通信を行わせ、ランサムウェアなどの本体をダウンロードさせます。
古典的なような自己増殖は行わず、複数段階で攻撃が進む高度な手法が主流です。
現代の攻撃の特徴
マクロはあくまでトリガー(起点)として利用され、 実際の被害をもたらすのは外部から取得される別のマルウェアです。通信・ダウンロード・外部サーバーへの接続など、多様な処理を実行できる柔軟性が攻撃に悪用されています。
そのため、古典的マクロウイルスとは防御の考え方が大きく異なります。
「マクロウイルス(昔の攻撃)」と「マクロ悪用攻撃(今の攻撃)」の違い
古典的な「マクロウイルス」は、文書ファイルに埋め込まれたマクロコード自体がウイルスとして振る舞い、利用者が文書を開くだけで自己増殖し感染を広げていました。一方、現代の「マクロ悪用攻撃」は、マクロそのものがウイルスではなく、マクロを「入口」として利用し、外部からランサムウェアなどの本体をダウンロードさせる攻撃が中心です。
多くのケースで、複数段階の処理を伴う手法が利用されています。
この2つは目的も仕組みも大きく異なりますが、現在でもまとめて「マクロウイルス」と呼ばれることがあり、対策を誤りやすい点が問題です。
現代攻撃では、マクロ実行の制御や外部通信の遮断など、古典的マクロウイルスとは異なる防御が必要になります。
なぜ現在でもマクロが攻撃に使われるのか
マクロは業務で広く利用される正規機能であり、利用者の操作によって実行が許可される仕組みを持っています。この特性により、攻撃者が利用者をだましてマクロを実行させる手法が成立しやすく、現在でも多くの攻撃で悪用されています。
また、Office文書が日常業務で頻繁にやり取りされることから、不正ファイルが紛れ込みやすい点も攻撃が続く背景になっています。
利用者の操作を誘導しやすい
マクロを含むファイルを開くと警告バーが表示され、利用者が「編集を有効にする」を押すことで、マクロ実行につながる状態へ移行します。その後、環境によっては追加の警告が表示され、「コンテンツの有効化」を求められる場合もあります。
業務で急いでいる場合や、正規の文書だと思い込んでいる場合には、内容を確認せずに操作してしまうことがあります。
※ 実際のOfficeで表示される「編集を有効にする」警告例
※ 画像をクリックすると拡大できます
外部プログラムを呼び出せる柔軟性
マクロはPowerShellの起動や外部サーバーへの通信など、多様な処理を行うことができます。攻撃者はこの性質を悪用し、マクロ実行をきっかけに別のプログラムを取り込む仕組みを作ります。
その結果、感染範囲が拡大しやすくなる場合があります。
業務メールとの親和性が高い
Officeファイルは請求書や資料など業務で自然に利用される形式です。以下のような日常文書に偽装されることが多くあります。
【例】請求書/納品書/会議資料
そのため、不正なファイルであっても利用者が疑いにくい点が悪用され続けています。
マクロウイルスやマクロ悪用攻撃の主な侵入経路と被害
マクロを悪用した攻撃は、業務で日常的に利用される仕組みに紛れ込む形で侵入し、その後、段階的に被害が拡大していく点が特徴です。ここでは、代表的な侵入経路と、侵入後に起こり得る被害の流れを整理します。
主な侵入経路(業務に紛れ込む入口)
マクロを悪用する攻撃は、業務で日常的に使用する仕組みに紛れ込む形で侵入します。 特にOfficeファイルは業務文書として扱われるため、不正なファイルであっても利用者が警戒せずに開いてしまいやすい特徴があります。代表的な侵入経路は次のとおりです。
- 請求書や業務連絡を装ったメールに添付されたOfficeファイル
- OneDrive、SharePoint、Teamsなどのクラウド共有リンク経由のOfficeファイル
- WebサイトからダウンロードされたOfficeファイル
侵入後に起こり得る被害の広がり
マクロを利用した攻撃が成立すると、ファイル内の処理を起点として被害が段階的に拡大することがあります。 現在は、単一端末で完結せず、組織全体へ影響が及ぶケースも少なくありません。代表的な被害の流れは次のとおりです。
- マクロを通じたPowerShellの起動や外部サーバーとの通信
- 不正プログラムの端末への取り込みと内部での不正処理の開始
- 情報漏えいや、後続のマルウェアによるランサムウェア被害
- 侵害端末を足がかりにした社内ネットワークへの横展開
代表的なマクロウイルスと悪用事例
マクロを悪用した攻撃は、決して新しい脅威ではありません。過去には、いわゆる「古典的マクロウイルス」と呼ばれる、マクロそのものが自己増殖する攻撃が流行しました。
現在では、マクロを入口として別のマルウェアを侵入させる攻撃が主流となっています。
代表的な事例を通して、その変化を整理します。
古典的マクロウイルスの例(Melissa)
Melissaは1999年に世界的に流行した、自己増殖型のマクロウイルスです。Word文書に含まれたマクロがウイルス本体となり、ファイルを開いた利用者の操作をきっかけに感染が成立しました。
感染すると、Outlookのアドレス帳に登録された宛先へ自動的にウイルス付きメールを送信し、
爆発的に感染が拡大したことが特徴です。
当時はマクロが既定で有効だったため、利用者が特別な操作をしなくても被害が広がりました。
この事例は、「マクロそのものがウイルスになる」という古典的な攻撃手法を象徴しています。
現代のマクロ悪用攻撃の例(Emotet)
近年主流となっているのは、マクロ自体がウイルスになるのではなく、マクロを「侵入口」として利用し、外部から別のマルウェアを取り込ませる攻撃です。
Emotetはその代表例で、請求書や業務連絡を装ったメールにOfficeファイルを添付し、
利用者に「コンテンツの有効化」を押させることで攻撃を成立させます。
感染後は、情報窃取や他のマルウェア(ランサムウェアなど)を呼び込む踏み台として機能し、
単一端末にとどまらず、組織全体へ被害が拡大するケースも多く報告されています。
このように、現在の攻撃ではマクロはあくまで入口であり、
複数段階の攻撃につながる点が、古典的マクロウイルスとの大きな違いです。
詳細は以下の関連記事で解説しています。
Emotet(エモテット)対策とは?2025年の最新動向と感染を防ぐ方法を徹底解説|企業向けEmotet対策ガイド
マクロウイルスを防ぐための最新対策
Microsoftが提供する最新の防御機能を正しく理解し設定することで、マクロを悪用した攻撃のリスクを大きく下げることができます。2022年以降、インターネットから取得したOfficeファイルのマクロが既定でブロックされる仕様が導入され、防御力は大きく向上しています。
企業では、技術的な対策と運用・教育を組み合わせることが重要です。
技術的な対策(マクロの実行を防ぐ)
インターネット経由で取得したOfficeファイルには「Mark of the Web(MOTW)」が付与され、既定ではマクロが実行できない仕様になっています。利用者が明示的に解除操作を行わない限り、マクロは動作しません。
また、企業環境ではグループポリシーを用いてマクロを原則無効化する設定が推奨されています。
業務上マクロが必要な場合は、部署やファイルを限定した例外運用とすることで、リスクを抑えながら利用できます。
さらに、Microsoft DefenderのASR(Attack Surface Reduction)ルールを有効にすることで、
Officeアプリがマクロを介して外部プログラムを起動する動作を防止でき、不正な処理の実行リスクを低減できます。
入口対策(メール・ファイル配布段階で遮断)
マクロを悪用した攻撃の多くは、メール添付やリンクを通じて侵入します。Microsoft 365のSafe LinksやSafe Attachmentsを活用することで、 不審な添付ファイルやURLを開く前に自動的に検査・遮断することが可能です。
これにより、利用者がファイルを開く前の段階で、感染の入口を封じる効果が期待できます。
人的対策(利用者の判断ミスを防ぐ)
マクロ攻撃への対策は、「ファイルを開かないこと」だけでは十分ではありません。現在の攻撃では、ファイルを開いた後に利用者自身が「編集を有効にする」「ブロックを解除する」といった操作を行うことで、マクロが実行される仕組みが多く使われています。
そのため重要なのは、マクロを不用意に「実行させない」「解除しない」ことです。
どれだけ技術的な対策を講じても、最終的な判断を利用者に委ねる場面は残ります。
不審な添付ファイルを開かないことや、安易に「編集を有効にする」「コンテンツの有効化」を押さないことが重要です。
利用者教育を通じて、マクロ攻撃の手口や判断ポイントを共有することで、 組織全体としての防御力を高めることができます。
感染が疑われる場合の対処方法
感染が疑われる場合は、被害の拡大を防ぎながら適切に対処することが必要です。利用者が自分で復旧作業を行うと、被害範囲が広がったり調査に必要な情報が失われたりする可能性があります。
そのため、事前に対応フローを整備し、落ち着いて行動できる体制を持つことが重要です。
・感染が疑われる端末は、まずネットワークから切り離します。
・セキュリティソフトやEDRでスキャンし、不審な挙動の有無を確認します。
・利用者が判断せず、情報システム部門や専門家へ速やかに報告します。
※なお、感染が疑われる場合でも、調査が完了するまでは不用意にPCを再起動したり、シャットダウンしたりしないほうが望ましいとされています。
再起動によって、一時ファイルや実行履歴など、原因特定に必要な情報が失われる可能性があるためです。
最近のマクロ攻撃の特徴(利用者操作を狙う手口)
以前は、マクロを含むファイルを開くと警告バーが表示され、利用者が「コンテンツの有効化」を押すことでマクロが実行されていました。しかし現在は、インターネットから取得したOfficeファイルについては、マクロが既定で強制的にブロックされ、赤い警告帯が表示される仕様になっています。
この状態では、単にボタンを押すだけではマクロを実行できません。
そのため、近年の攻撃では、攻撃者がメール本文やファイル内の説明文で、 「ブロックを解除してください」「編集を有効にしてください」といった解除手順を案内し、 利用者に意図的な操作をさせる手口へと変化しています。
マクロウイルスのFAQ
マクロウイルスは今も存在しますか?
古典的な意味での「マクロウイルス」は、現在ではほとんど見られなくなっています。1990年代に流行したマクロウイルスは、文書内のマクロ自体がウイルス本体となり、自己増殖しながら感染を広げる仕組みでした。
しかし現在主流となっているのは、マクロを入口として別のマルウェアを侵入させる「マクロ悪用攻撃」です。
このため、昔の攻撃手法そのものは減少していますが、マクロを悪用した攻撃自体は今も続いていると言えます。
その結果、現在でも総称として「マクロウイルス」と呼ばれることがありますが、実際の中身は当時とは大きく異なっています。
マクロを無効にすれば安全になりますか?
マクロを無効にすることで、マクロを入口とする攻撃については、大きな防御効果があります。業務上マクロを使用しない環境であれば、マクロ悪用攻撃の多くを未然に防ぐことが可能です。
一方で、マクロを無効にしても、すべてのウイルスやマルウェアから安全になるわけではありません。
近年の攻撃では、PDFファイル、HTMLファイル、URLリンクなど、マクロを使わない手口も多く確認されています。
そのため、マクロ無効化は「マクロ攻撃に対する有効な対策の一つ」ではありますが、
ウイルス対策全体としては、メール対策やエンドポイント防御など、他の対策と組み合わせて考えることが重要です。
マクロが有効なファイルは、すべて危険ですか?
マクロが有効なファイルであっても、すべてが危険というわけではありません。社内で作成・管理されている業務用マクロや、信頼できる作成者が明確なファイルであれば、正当に利用されているケースも多くあります。
ただし、メール添付や外部から受け取ったマクロ有効ファイルについては注意が必要です。
攻撃者は請求書や業務連絡を装い、マクロ実行を促す文言を含めたファイルを送付することがあります。
このような場合、ファイル自体の見た目だけで安全かどうかを判断することは困難です。
そのため、マクロ有効ファイルは「危険か安全か」ではなく、 「誰が作成し、どの経路で届いたファイルか」を基準に扱うことが重要です。
出所が不明なファイルについては、原則としてマクロを実行しない運用が推奨されます。
「マクロウイルス」という言葉を使っても問題ありませんか?
一般的な会話や概要説明では、「マクロウイルス」という言葉が使われること自体は珍しくありません。実際、多くの検索ユーザーもこの言葉で情報を探しています。
ただし、実務や対策検討の場面では注意が必要です。
古典的なマクロウイルスと、現代のマクロ悪用攻撃では、仕組みも必要な対策も大きく異なります。
そのため、正確さが求められる場面では「マクロ悪用攻撃」など、実態に即した言葉を使い分けることが望ましいと言えます。
Microsoftがマクロを厳しく制限するようになったのはなぜですか?
Microsoftがマクロの既定動作を制限するようになった背景には、マクロを入口とするマルウェア感染が長年にわたり多発してきた事実があります。
特に、Emotetをはじめとするマルウェアでは、
Officeファイルに含まれるマクロが初期侵入の手段として繰り返し悪用されてきました。
利用者が「コンテンツの有効化」を押すだけで感染が成立する点が、大きな問題とされていました。
この状況を受け、Microsoftは2022年以降、 インターネットから取得したOfficeファイルのマクロを既定でブロックする仕様へと変更しました。
これは、利用者の操作ミスに依存しない形で被害を防ぐための対策です。
現在は「マクロを使う場合のみ、明示的に許可する」という考え方に移行しており、
業務効率とセキュリティのバランスを取る方向へと設計が見直されています。
まとめ
マクロウイルスはOffice製品のマクロ機能を悪用して感染するタイプのウイルスです。現在は自己増殖型よりも、マクロを入口として別のマルウェアが侵入する攻撃が主流です。
Microsoftによるマクロブロック機能やASRの活用、そして日常の注意習慣を組み合わせることで、リスクを大きく減らすことができます。
複数の対策を重ねることで、マクロを悪用した攻撃に強い環境を整備できます。
サイバー保険との関係
マクロを入口とする攻撃は、技術的な対策や利用者教育によってリスクを大きく下げることができます。一方で、設定ミスや想定外の操作、巧妙な手口によって、完全に防ぎ切ることは難しいのが実情です。
万が一感染が発生した場合には、調査・復旧対応、業務停止による損失、外部対応など、企業側の負担が一気に増大します。
こうした「防ぎきれなかった後のリスク」に備える手段として、サイバー保険を併用する考え方もあります。
技術対策や運用ルールによる予防と、事故発生時の備えを組み合わせることで、マクロを悪用した攻撃に対する実務的な耐性を高めることができます。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
