Microsoftの「VBAマクロ」原則ブロックを専門家が称賛 中には“苦言”も：「VBAマクロ」の抑え込み【後編】

「Microsoft Office」ファイルの標準設定を変更し、VBAマクロを悪用した攻撃を防ごうとするMicrosoftの取り組みを、専門家はどうみているのか。歓迎の声が上がる中、同社を批判する意見もある。

[Arielle Waldman，TechTarget]

　Microsoftは、オフィススイート「Microsoft Office」の一部アプリケーションの標準設定を変更することを2022年2月に発表した。エンドユーザーがインターネットで入手した「VBA」（Visual Basic Application）マクロを標準でブロックするようにする。VBAはOfficeファイル用のマクロを記述するためのプログラミング言語だ。

　ここにきてMicrosoftがVBAマクロを標準で無効にすることを決めたきっかけは明らかになっていない。それでも複数のセキュリティ専門家がこの変更を歓迎している。

VBAマクロの原則ブロック　歓迎する声の中に“苦言”も

併せて読みたいお薦め記事

連載：「VBAマクロ」の抑え込み

• 前編：“怪しいVBAマクロ”を原則ブロック　「Office」標準設定変更の狙いは？
• 中編：VBAマクロ“原則ブロック”後に「Office」でマクロを実行する方法

Microsoft製品のセキュリティ対策

• 「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは？
• 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント
• 「Microsoft 365」で多要素認証（MFA）を利用するMicrosoft推奨の方法とは？

　「マクロのブロックは攻撃対象領域を狭め、エンドユーザーのセキュリティ強化に貢献する」。トレンドマイクロの脆弱（ぜいじゃく）性発見コミュニティーZero Day Initiativeで、コミュニケーションマネジャーを務めるダスティン・チャイルズ氏は、こう考える。

　チャイルズ氏は「これまでの歴史から、エンドユーザーはどのような警告メッセージが表示されても、警告の強さにかかわらず、文書を開くボタンをクリックしてしまうことが分かっている」と述べる。今回の設定変更でマクロの実行を制限することにより、マクロ攻撃の多くを未然に防げるようになることを同氏は期待する。

　Microsoftのサイバー犯罪インテリジェンスリードであるニック・カー氏は、VBAマクロに関する既定設定の変更について、ミニブログ「Twitter」でコメントした。今回の設定変更は大きな前進であり、データに基づき、かつビジネス要件よりもセキュリティを重視した措置だというのがカー氏の意見だ。セキュリティ研究者のケビン・ボーモント氏はカー氏のツイート（Twitterへの投稿）を受けて、「非常に適切な措置だ」と評した。

　「Microsoftはこの措置をもっと早く講じるべきだった」と言う情報セキュリティ専門家もいる。Meta Platforms（旧Facebook）でレッドチームリードを務めるアーロン・グラッタフィオーリ氏がその一人だ。「ランサムウェア（身代金要求型マルウェア）攻撃をはじめ、さまざまなサイバー攻撃は激化している」と同氏はツイートした。

　Microsoftが今回の設定変更を発表した公式ブログのエントリ（投稿）によると、この設定変更は、「Windows」マシンで動作する5つのMicrosoft Officeアプリケーションに影響する。具体的には

• Microsoft Access
• Microsoft Excel
• Microsoft PowerPoint
• Microsoft Visio
• Microsoft Word

の5つだ。2022年4月初旬に公開するOfficeの「Version 2203」に、今回の設定変更を盛り込むという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。