パスワード付き添付ファイルは安全か――Ursnif型メール侵入を2026年の日本企業視点で見直す

みなさん、こんにちは。 SCSKの石井です。

メール経由の侵入は、いまも日本企業にとって現実的な初動リスクです。特に見落としたくないのが、「暗号化されているから安全そうに見える添付ファイル」です。Ursnif系で知られる攻撃では、パスワード付き文書を入口に、利用者の操作を誘い、PowerShell実行や追加不正プログラムの取得へつなげる流れが確認されてきました。国内でも、ランサム攻撃、標的型攻撃、ビジネスメール詐欺が継続的に主要脅威として挙がっており、文書ファイルを起点とする侵入対策は、2026年のいま改めて見直す価値があります。

なぜ「パスワード付き」が攻撃者に都合がよいのか

この種の攻撃の厄介さは、添付ファイルの中身を受信時点で十分に検査しにくい点にあります。Ursnif型の事例では、メール本文に記載されたパスワードで文書を開かせ、文書内のアイコンやボタンをクリックさせることで、PowerShellによるダウンロードや不正実行へ進ませる構成が使われました。入口は単純でも、その後は情報収集、外部通信、別ペイロード展開と段階的に進むため、ユーザーの“ひと手間”が侵害の起点になりやすいのです。

日本ではマクロ規制が進み、Microsoft 365でもインターネット由来ファイルのマクロは既定で厳しく扱われます。その結果、攻撃側はマクロだけに依存せず、パスワード付き圧縮ファイル、大容量文書、LNK、OneNote、スクリプト呼び出しなどへ手口を広げています。つまり、「マクロを止めたから安心」ではなく、添付ファイル全体の受け止め方を変える必要があります。

2026年の日本企業が押さえるべき3つの見直しポイント

日本の現場で有効な対策は「メール対策＋端末対策」の分離です

IPAが示す2026年の組織向け脅威でも、ランサム攻撃、機密情報を狙った標的型攻撃、ビジネスメール詐欺は引き続き重要です。JPCERT/CCも、実在の取引先や知人を装うメールで、パスワード付きZIPや文書、LNK、OneNoteなど多様な添付形式が悪用される状況に注意を促しています。ここから言えるのは、ゲートウェイで防ぎ切る発想だけでは不足しやすい、という点です。

有効なのは、入口でのフィルタリングと、端末上での実行前・実行時防御を役割分担させる考え方です。受信ブロックをすり抜けても、文書から始まる不自然な処理連鎖を端末側で止められれば、侵入成功率を大きく下げられます。とりわけ、未知の亜種や日々変化する配布基盤に対しては、シグネチャの更新待ちだけに依存しない予防型の仕組みが現場負荷を抑えます。

結論

パスワード付き文書を悪用する攻撃は、古い話ではありません。2026年の日本企業にとっては、「見えにくい添付ファイルをどう扱うか」という運用課題そのものです。メール訓練、マクロ制御、送信元確認に加え、端末上で不審な実行を未然に止める仕組みまで含めて、対策を一段引き上げる必要があります。

その際に重要なのは、運用を複雑にしすぎないことです。高い検知精度と低い誤検知、軽量なエージェント、PoVやMDRを含む実装支援までを一体で考えることで、現場に定着する対策へつなげやすくなります。

■ディープラーニングによる予防型エンドポイントセキュリティに興味をお持ちの方へ 

本記事でご紹介したディープラーニング（深層学習）による革新的な防御思想を、実際のプロダクトとして体現し、
多くのお客様の環境を守っているのが、SCSKが取り扱う「Deep Instinct（ディープインスティンクト）」です。 
従来のセキュリティ運用（EDRなど）に限界を感じている方、未知のランサムウェア対策を強化したい方は、ぜひ以下の製品詳細ページをご覧ください。