MicrosoftのVBAマクロブロックが攻撃者に効かない理由

Micorosoftは、インターネットから取得した「Microsoft Office」ファイルのVBAマクロをデフォルトでブロックする機能を導入した。だが、攻撃者はある方法でマルウェアを配布するようになったという。

[David Jones，Cybersecurity Dive]

　Proofpointが2022年7月28日に発表した調査によると、「Microsoft Office」のマクロをデフォルトでブロックするというMicrosoftの事前決定を受け、攻撃者は“ある攻撃手法”でマルウェアを配布するようになったという（注1）。

　Microsoftは、2021年10月にXL4マクロを、2月にVBAマクロをOfficeでデフォルトでブロックする計画を事前に公表している。

　Proofpointの研究者によれば、VBAおよびXL4マクロの使用は、2021年10月から2022年6月の間に66％減少した。研究者はこの動きを「近年で最大の電子メール脅威の状況の変化」の一つと呼んでいる。

MicrosoftのVBAマクロブロックが攻撃者に効かない理由

　Proofpointの調査結果は、広く使用されているエンタープライズプラットフォームを標的にした脅威を、Microsoftがどのように管理してきたかを示す最新の情報だ。これらのプラットフォームは、数百万人の従業員が重要なビジネス機能を遂行するために依存している。

　Microsoftは2022年7月末に、同月上旬に一時的に停止していたデフォルトブロックを再開した（注2）。同社は、エンドユーザーとIT管理者のためのドキュメントを更新し、顧客がどのようなオプションが利用できるかの情報を提供した。

　Proofpointによると、Microsoftは、ファイルがインターネットから取得したものかどうかを示すMark of the Web （MOTW） 属性（これはゾーン識別子として知られている）に基づいて、VBAマクロをブロックしている。Microsoftは、特定の文書がダウンロードされると、これをファイルに追加する。

　しかし、Proofpointによれば、レッドチームや攻撃者は、コンテナファイル形式を使用してMOTWを回避できる。2020年、Outflankという企業が、侵入テストを行う際にMOTWをバイパスできることを実証した（注3）。

　Proofpointによると、犯罪的な脅威行為者はBumblebeeマルウェアを配布するために、攻撃キャンペーンでの初期アクセスにISOファイルやLNKファイルを使用するケースが増えている。

　2022年2月以降、Proofpointの研究者は、LNKファイルを使用する少なくとも10の攻撃者を追跡している。Proofpointによると、LNKファイルを使用するキャンペーンの数は全体として、2021年10月以降1675％増加している。

出典：Threat actors shifting tactics as Microsoft blocks, unblocks and reblocks macros（Cybersecurity Dive）

注1：How Threat Actors Are Adapting to a Post-Macro World

注2：Helping users stay safe: Blocking internet macros by default in Office

注3：Mark-of-the-Web from a red team’s perspective