もう止まらない「犯罪者のExcel離れ」：Excelは”凶器“なのか【前編】

メール攻撃を仕掛ける攻撃者の間で「Excel」の“人気”が衰え始めているという。その背景には、Microsoftが下した“ある決断”の影響があると専門家はみる。それは何なのか。

[Shaun Nichols，TechTarget]

　攻撃者は、PCにマルウェアを忍び込ませる手段として、Microsoftの表計算ツール「Microsoft Excel」を利用することを避け始めた。セキュリティベンダーHornetsecurityによると、攻撃者がメール攻撃で悪用するファイル形式のうち、Excelファイルの割合が減少傾向にある。

　攻撃者の間で、なぜ“Excel離れ”が広がっているのか。それはMicrosoftの下した、ある重要な決定が大きく影響しているとHornetsecurityは考察する。

「Excel離れ」はなぜ止まらないのか

併せて読みたいお薦め記事

連載：“脱Excel”か“活Excel”か

• Excel新関数「LET」は便利なのか？　それとも“初心者お断り”なのか？
• Excel関数「XLOOKUP」は何がすごいのか　「VLOOKUP」との違いとメリット

　Microsoftは、Excelの標準設定を変更。Excelファイルの開封時に、標準ではマクロを実行しないことにした。PCを乗っ取るためにExcelマクロを悪用することは、攻撃者の常とう手段だった。

　2022年に、MicrosoftはExcelの標準設定で「Microsoft Excel Version 4.0」（以下、Excel 4.0）向けマクロ（XLMマクロ）の実行を無効化した。マクロ用プログラミング言語「Visual Basic for Applications」（VBA）で開発されたマクロ（VBAマクロ）の実行についても、標準での無効化を進めている。こうしたMicrosoftの措置により、攻撃者が戦術を変更したとHornetsecurityはみる。

　Hornetsecurityが観測した月間のメール攻撃数のうち、Excelファイルを悪用していた攻撃の割合は、2022年6月には14.4％だった。同年7月には5.1％へと10ポイント近く減少した。同社が月次メール脅威レポート「Email Threat Review」の2022年７月版（2022年８月公開）で明らかにした。

　攻撃者がExcelマクロを悪用して配布する主要なマルウェアとして、Hornetsecurityは「Qakbot」を挙げる。Qakbotは、オンラインバンキングのログインに必要な認証情報を窃取するためのマルウェアとして知られてきた。

　Hornetsecurityによると、Qakbotによる攻撃は「HTMLスマグリング」「DLLサイドローディング」を利用した、より複雑な感染経路をたどる攻撃に切り替わっている。HTMLスマグリングは、正常なHTMLファイルの中に悪意のあるプログラムを隠す手口。DLLサイドローディングは、正規ファイルを偽装して悪意のあるDLLファイルをOSに読み込ませる手口だ。

---

　後編は、Qakbotを使った攻撃の具体的なプロセスを解説した上で、Excelを悪用した攻撃の今後を占う。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。