マクロを悪用したマルウェアは1990年代からハッカーらに多用されており、近年でもガードのあまいユーザーのデバイスにマルウェアを仕掛けるシンプルな方法として利用されている。
ウクライナ政府は2月、ロシア政府のスパイが悪意あるマクロを含んだ文書をウクライナ政府の文書共有サイトにアップロードしたとして非難した。またMicrosoftは、新型コロナウイルスのパンデミックの第1波が襲っているさなか、悪意あるマクロを含んだ「Excel」ファイルが添付された電子メールに関する警告を発した。
Microsoftは、「Antimalware Scan Interface」(AMSI)と「Office 365」の統合によって、マクロを利用したマルウェアを根絶するための取り組みを何年にもわたって続けている。これにより「VBA」で記述されたマクロスクリプトを駆逐することに一定の成果を収めたものの、攻撃者らは1992年の「Excel 4.0」で導入された旧形式のマクロ言語である「XLM」を利用するようになった。
現在、MicrosoftはAMSIとOffice 365の統合機能をMicrosoftは拡張する取り組みの一環として、XLMマクロを実行時にスキャンする機能を搭載し、XLMのセキュリティをVBA並みに高めようとしている。
提供:Microsoft
AMSIにより、アプリケーションは「Windows」マシン上のウイルス対策ソフトウェアと連携し、ウイルス対策ソフトはOffice文書内に潜んでいるさまざまな悪意あるスクリプトを検出、ブロックできるようになる。Microsoftは、同社のウイルス対策ソフトウェア「Microsoft Defender」製品で、XLMベースのマルウェアを検出、ブロックするためにこの連携機能を利用しており、他のウイルス対策製品のプロバイダーもこの機能を採用するよう奨励している。
XLMは1993年にVBAに取って代わられたものの、一部の顧客は現在もXLMを利用しているため、Excelでサポートが続けられている。
Microsoftのセキュリティチームは、「XLMはVBAに比べると初歩的だが、OSとの相互運用性という点で十分パワフルな機能を有しているため、多くの組織やユーザーは適切な目的で利用し続けている。サイバー犯罪者もそのことを熟知しているため、Win32 APIを呼び出してシェルコマンドを実行する目的でXLMマクロを悪用するケースがますます増えている」と説明した。
またこのチームによると、2018年にAMSIのVBA実行時のスキャン機能を実現したことで、「マクロの難読化機能を搭載したマルウェアの武装を実質的に無力化し、悪意あるコードの詳細な精査が可能になった」という。
その結果、「『Trickbot』『Zloader』『Ursnif』の背後にいる脅威アクターは必然的に、セキュリティソリューションの網の目をかいくぐって悪用、運用するために他の機能を探し出そうとし、適切な代替をXLMに見出した」という。
ウイルス対策ソフトウェアが悪意あるXLMマクロを検出した場合、同マクロは実行されず、Excelは処理を終了するため、攻撃を抑止することができる。
XLMマクロの実行時検査機能は、「Microsoft Excel」で既に利用可能となっており、「Microsoft 365」のサブスクリプションユーザー向けには、2月の「Current Channel」と「Monthly Enterprise Channel」からデフォルトで有効化されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
