Microsoft Officeの「マクロ原則ブロック」がもたらした利点と“想定外の変化”：変化するサイバー攻撃手法【第1回】

Microsoftは、「Microsoft Office」におけるマクロ機能をデフォルトでブロックするようポリシーを変更した。これにより、ユーザーやサイバー攻撃者にどのような変化をもたらしたのか。

[Alex Scroxton，TechTarget]

　2023年5月、メールセキュリティベンダーProofpointはサイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」を公表。同社の研究者が、2021年1月〜2023年3月の攻撃キャンペーン（一連の攻撃）を調査した結果をまとめたものだ。

　調査によると、Microsoftがオフィススイート「Microsoft Office」のマクロ（アプリケーション自動操作機能）をデフォルトでブロックするようにポリシーを変更したことで、サイバー攻撃者やOfficeユーザーに大幅な影響を及ぼしたという。どのような影響が生じたのか。

「マクロ」原則ブロックがもたらした“良い変化”とは？

併せて読みたいお薦め記事

マクロを悪用する攻撃者

• Microsoft Officeでマクロ自動実行はNG？　“あれ”があったら要注意
• 「犯罪者のExcel離れ」で狙われ始めた“あのファイル”

　Microsoftがデフォルトでブロックすることを発表したのは以下のマクロだ。

• マクロ用プログラミング言語「Visual Basic for Applications」（VBA）で作成したマクロ（VBAマクロ）
• 「Microsoft Excel Version 4.0」（以下、Excel 4.0）向けマクロ（XLM）

　Microsoftはマクロをブロックする計画について、VBAマクロについては2022年2月、XLMについては2021年10月にそれぞれ発表し、同年中にこのポリシーを適用した。同社はそれまで、マクロを有効にする際のリスクをOfficeユーザーに警告していながらも、Officeユーザーがボタンをクリックするだけでマクロを使用可能な状態にしていた。そのため攻撃者はマクロを悪用し、悪意あるOfficeファイルを介してペイロード（マルウェアの実行を可能にするプログラム）を配布する手法を頻繁に用いていた。

　2022年のポリシー変更により、Officeユーザーはボタンをクリックするだけではマクロを有効にできなくなった。代わりに、マクロがブロックされている旨を伝えるメッセージと、詳細を表示するためのオプションが表示される。依然としてOfficeユーザーはマクロを有効にすることはできるが、従来よりも多くの手順が必要だ。これによって、悪質なOfficeファイルを受け取った人がマクロを実行してしまうことを防止できる。

　手間を増やすという単純な方法により、「小規模な攻撃グループから経験豊富な攻撃者に至るまで、さまざまな攻撃者が攻撃のやり方を大きく変えなければならなくなった」とProofpointは評価する。

---

　第2回は、マクロ悪用の沈静化により、サイバー犯罪コミュニティーに生じた変化について紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。