Microsoftは、「Microsoft Office」におけるマクロ機能をデフォルトでブロックするようポリシーを変更した。これにより、ユーザーやサイバー攻撃者にどのような変化をもたらしたのか。
2023年5月、メールセキュリティベンダーProofpointはサイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」を公表。同社の研究者が、2021年1月〜2023年3月の攻撃キャンペーン(一連の攻撃)を調査した結果をまとめたものだ。
調査によると、Microsoftがオフィススイート「Microsoft Office」のマクロ(アプリケーション自動操作機能)をデフォルトでブロックするようにポリシーを変更したことで、サイバー攻撃者やOfficeユーザーに大幅な影響を及ぼしたという。どのような影響が生じたのか。
Microsoftがデフォルトでブロックすることを発表したのは以下のマクロだ。
Microsoftはマクロをブロックする計画について、VBAマクロについては2022年2月、XLMについては2021年10月にそれぞれ発表し、同年中にこのポリシーを適用した。同社はそれまで、マクロを有効にする際のリスクをOfficeユーザーに警告していながらも、Officeユーザーがボタンをクリックするだけでマクロを使用可能な状態にしていた。そのため攻撃者はマクロを悪用し、悪意あるOfficeファイルを介してペイロード(マルウェアの実行を可能にするプログラム)を配布する手法を頻繁に用いていた。
2022年のポリシー変更により、Officeユーザーはボタンをクリックするだけではマクロを有効にできなくなった。代わりに、マクロがブロックされている旨を伝えるメッセージと、詳細を表示するためのオプションが表示される。依然としてOfficeユーザーはマクロを有効にすることはできるが、従来よりも多くの手順が必要だ。これによって、悪質なOfficeファイルを受け取った人がマクロを実行してしまうことを防止できる。
手間を増やすという単純な方法により、「小規模な攻撃グループから経験豊富な攻撃者に至るまで、さまざまな攻撃者が攻撃のやり方を大きく変えなければならなくなった」とProofpointは評価する。
第2回は、マクロ悪用の沈静化により、サイバー犯罪コミュニティーに生じた変化について紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
CMOはなぜ短命? なぜ軽視される? いま向き合うべき3つの厳しい現実
プロダクト分析ツールを提供するAmplitudeのCMOが、2025年のマーケティングリーダーに課...
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
ITmediaはアイティメディア株式会社の登録商標です。
