2022年03月22日 05時00分 公開
特集/連載

Microsoftの「VBAマクロ」原則ブロックを専門家が称賛 中には“苦言”も「VBAマクロ」の抑え込み【後編】

「Microsoft Office」ファイルの標準設定を変更し、VBAマクロを悪用した攻撃を防ごうとするMicrosoftの取り組みを、専門家はどうみているのか。歓迎の声が上がる中、同社を批判する意見もある。

[Arielle Waldman,TechTarget]

 Microsoftは、オフィススイート「Microsoft Office」の一部アプリケーションの標準設定を変更することを2022年2月に発表した。エンドユーザーがインターネットで入手した「VBA」(Visual Basic Application)マクロを標準でブロックするようにする。VBAはOfficeファイル用のマクロを記述するためのプログラミング言語だ。

 ここにきてMicrosoftがVBAマクロを標準で無効にすることを決めたきっかけは明らかになっていない。それでも複数のセキュリティ専門家がこの変更を歓迎している。

VBAマクロの原則ブロック 歓迎する声の中に“苦言”も

 「マクロのブロックは攻撃対象領域を狭め、エンドユーザーのセキュリティ強化に貢献する」。トレンドマイクロの脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiativeで、コミュニケーションマネジャーを務めるダスティン・チャイルズ氏は、こう考える。

 チャイルズ氏は「これまでの歴史から、エンドユーザーはどのような警告メッセージが表示されても、警告の強さにかかわらず、文書を開くボタンをクリックしてしまうことが分かっている」と述べる。今回の設定変更でマクロの実行を制限することにより、マクロ攻撃の多くを未然に防げるようになることを同氏は期待する。

 Microsoftのサイバー犯罪インテリジェンスリードであるニック・カー氏は、VBAマクロに関する既定設定の変更について、ミニブログ「Twitter」でコメントした。今回の設定変更は大きな前進であり、データに基づき、かつビジネス要件よりもセキュリティを重視した措置だというのがカー氏の意見だ。セキュリティ研究者のケビン・ボーモント氏はカー氏のツイート(Twitterへの投稿)を受けて、「非常に適切な措置だ」と評した。

 「Microsoftはこの措置をもっと早く講じるべきだった」と言う情報セキュリティ専門家もいる。Meta Platforms(旧Facebook)でレッドチームリードを務めるアーロン・グラッタフィオーリ氏がその一人だ。「ランサムウェア(身代金要求型マルウェア)攻撃をはじめ、さまざまなサイバー攻撃は激化している」と同氏はツイートした。

 Microsoftが今回の設定変更を発表した公式ブログのエントリ(投稿)によると、この設定変更は、「Windows」マシンで動作する5つのMicrosoft Officeアプリケーションに影響する。具体的には

  • Microsoft Access
  • Microsoft Excel
  • Microsoft PowerPoint
  • Microsoft Visio
  • Microsoft Word

の5つだ。2022年4月初旬に公開するOfficeの「Version 2203」に、今回の設定変更を盛り込むという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news092.png

クラウドサーカスのMAツール「BowNow」が機能拡充、無料版でもメール配信が可能に
リードナーチャリング活動をよりミニマムにスタート可能に。

news016.jpg

「A/Bテスト」ツール 売れ筋TOP10(2022年5月)
今週は、「A/Bテスト」ツールの売れ筋TOP10を紹介します。

news076.jpg

メディア化する企業が勝つ時代の動画マーケティングはどうあるべきか
見込み客の興味についての理解を深化させ、イベントの価値を最大化し、人々の注目を獲得...