OutLookは便利とリスクの隣り合わせ
Microsoft OfficeにはOutLookが標準で付いていることから、会社ではMicrosoft OutLookを使っているというケースは多いと思います。OutLookはExcelと同様にVBA(Visual Basic for Applications)を使うことにより、プログラムによる操作ができるのですが、ご存じでしょうか?
Excelのマクロはあまりにも有名なので知らない人は少ないと思うのですが、OutLookもExcelのマクロと同様に自動で操作することができると言うと、驚かれる方が結構います。
OutLookでVBAを使うと、メールに添付されている圧縮ファイルを自動で解凍して指定のフォルダに自動保存するとか、多数のユーザにメールを自動送信するとか、色々便利な事ができるのですが、これを悪用すると、OutLookから参照できるアドレス帳に登録されているアドレスをごっそり抜き取って外部に送信してしまうとか、スパムメールを送るための踏み台として利用するなんていうこともできたりすることになります。
アドレスを収集してブラックマーケットに売ることが目的だったりすると、OutLookを操作するマルウェアを作って送りつけるなんていうことが考えられるわけですが、このようなマルウェアはウィルス対策ソフトなどでは悪意のあるソフトウェアとして検知されなかったりします。
何故検知されないか?というと、OutLookをVBAで操作する行為自体は、通常のビジネスなどにおいても行われていることなので、一律に悪意のあるアプリケーションであると判断してしまうと、VBAを使うということ自体ができなくなり、何の悪意もない人にまで影響を及ぼしてしまうことになるので、ウィルス対策ソフトを提供するベンダー側としては、検知対象に含めることが憚られてしまうということなんですね。
ウィルス対策ソフトでガードできないということは、うっかり開いてしまえば、アドレスがごっそり外部に持って行かれたり、自社のパソコンから取引先にスパムメールが送られたりなんていうことが発生する可能性だってありうるわけです。
しかも今はSNSがあるので、Twitterやfacebookなどに情報が流出してしまうようなことがあれば、あっという間に話が拡散して風評被害などに繋がったりする可能性も考えられるだけに、システムによる防御だけに頼るのはやはり心許ない気がします。
だったらOutLookなんて使わなければいいじゃないか。という方もいますが、他のメールソフトでも同じような危険性がないとは言えないですし、業務効率を高めてくれる便利な道具を活用しないのも勿体ないと思いますので、OutLookさえ使わなければいいということではなしに、やはりシステムを使う人のリテラシーを高めることで、うまくリスクと付き合っていくことができるようにするのが、望ましいことなんではないかと思います。
→次の記事へ( 模擬マルウェアの開封率は3~10% )