「Officeマクロ」原則ブロックが生んだのは“安全性だけ”ではなかった：変化するサイバー攻撃手法【第2回】

「Microsoft Office」のマクロがデフォルトで無効になったことにより、Officeマクロを悪用したサイバー攻撃は減少傾向にある。攻撃者は新しい手法として、何に目を付けているのか。

[Alex Scroxton，TechTarget]

　Microsoftのオフィススイート「Microsoft Office」のマクロ（アプリケーション自動操作機能）は、デフォルトでブロックされるようになっている。メールセキュリティベンダーProofpointの調査によると、この変更によって、サイバー犯罪コミュニティーに大きな変化が生じている。

「Officeマクロ」原則ブロックでも安全とは言い切れない？

併せて読みたいお薦め記事

連載：変化するサイバー攻撃手法

• 第1回：Microsoft Officeの「マクロ原則ブロック」がもたらした利点と“想定外の変化”

攻撃を防ぐために知っておくべきこと

• 「脅威インテリジェンス」は“万能薬”ではない　何が足りないのか？
• サイバー攻撃の“約4割”を占める侵入経路とは？　IBMがレポート公開

　2023年5月、Proofpointはサイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」を公開した。報告書は、2021年1月～2023年3月の攻撃キャンペーン（一連の攻撃）を基に同社の研究者が調査を実施した。

　プログラミング言語「Visual Basic for Applications」（VBA）向けマクロ（VBAマクロ）と「Microsoft Excel Version 4.0」（以下、Excel 4.0）向けマクロ（XLMマクロ）を悪用した攻撃キャンペーン数は、2021年にそれぞれ約700件観測された。2022年、この数はどちらも66％現象。2023年前半には、観測された攻撃の中にOfficeマクロを悪用したものはほとんどなかった。

　「Officeマクロの悪用が減少した結果、サイバー犯罪コミュニティーにおいて大きな変化が起きた」と話すのは、Proofpointの研究者であるセレナ・ラーソン氏とジョー・ワイズ氏だ。

　Proofpointは独自のテレメトリーデータ（システム稼働状況に関するデータ）を用いて、1日当たり数十億件のメールを分析。その結果、攻撃者は古い形式のファイルを用いた攻撃や、攻撃を連鎖させる攻撃など、さまざまな手法を用いてペイロード（マルウェアの実行を可能にするプログラム）の配信を試みていたことが分かった。それによると攻撃者は、初期侵入にメールを使用する際の効果的な手法を見つけるために試行錯誤をしている段階だ。Officeマクロに代わる安定した攻撃手法はまだ出現していないという。

　高度な技術を持つ攻撃者は、マルウェアを配信するための新しいTTPs（Tactics, Techniques, Procedures：攻撃者の戦術、技法、手順）を開発し、繰り返しテストしている。このような手法で開発された新しい技術は、サイバー犯罪コミュニティーの中で広まる傾向があるという。新しい技術を用いた攻撃が観測された後、数週間から数カ月以内に他の攻撃主体が同様の攻撃を実施し、先駆者に追従する動きが見られる。

---

　第3回は、Officeマクロを悪用する手法に代わって、2022年半ばから拡大している攻撃手法を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。