「Microsoft Office」ファイルの標準設定を変更し、VBAマクロを悪用した攻撃を防ごうとするMicrosoftの取り組みを、専門家はどうみているのか。歓迎の声が上がる中、同社を批判する意見もある。
Microsoftは、オフィススイート「Microsoft Office」の一部アプリケーションの標準設定を変更することを2022年2月に発表した。エンドユーザーがインターネットで入手した「VBA」(Visual Basic Application)マクロを標準でブロックするようにする。VBAはOfficeファイル用のマクロを記述するためのプログラミング言語だ。
ここにきてMicrosoftがVBAマクロを標準で無効にすることを決めたきっかけは明らかになっていない。それでも複数のセキュリティ専門家がこの変更を歓迎している。
「マクロのブロックは攻撃対象領域を狭め、エンドユーザーのセキュリティ強化に貢献する」。トレンドマイクロの脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiativeで、コミュニケーションマネジャーを務めるダスティン・チャイルズ氏は、こう考える。
チャイルズ氏は「これまでの歴史から、エンドユーザーはどのような警告メッセージが表示されても、警告の強さにかかわらず、文書を開くボタンをクリックしてしまうことが分かっている」と述べる。今回の設定変更でマクロの実行を制限することにより、マクロ攻撃の多くを未然に防げるようになることを同氏は期待する。
Microsoftのサイバー犯罪インテリジェンスリードであるニック・カー氏は、VBAマクロに関する既定設定の変更について、ミニブログ「Twitter」でコメントした。今回の設定変更は大きな前進であり、データに基づき、かつビジネス要件よりもセキュリティを重視した措置だというのがカー氏の意見だ。セキュリティ研究者のケビン・ボーモント氏はカー氏のツイート(Twitterへの投稿)を受けて、「非常に適切な措置だ」と評した。
「Microsoftはこの措置をもっと早く講じるべきだった」と言う情報セキュリティ専門家もいる。Meta Platforms(旧Facebook)でレッドチームリードを務めるアーロン・グラッタフィオーリ氏がその一人だ。「ランサムウェア(身代金要求型マルウェア)攻撃をはじめ、さまざまなサイバー攻撃は激化している」と同氏はツイートした。
Microsoftが今回の設定変更を発表した公式ブログのエントリ(投稿)によると、この設定変更は、「Windows」マシンで動作する5つのMicrosoft Officeアプリケーションに影響する。具体的には
の5つだ。2022年4月初旬に公開するOfficeの「Version 2203」に、今回の設定変更を盛り込むという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
