マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加

今回は「マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　サイバー攻撃者が標的のコンピューターにマルウェアを送り込むべく、なりすましメールなどに不正マクロを組み込んだOfficeファイルを添付して送り付け、受信者にマクロを実行させる手法がある。このためMicrosoftは2月、ユーザーがインターネットから入手するOfficeファイルの VBAマクロをデフォルトでブロックする措置を講じた（7月11日にいったん解除されたが、26日から再びブロックしている）。

　メールセキュリティ企業の日本プルーフポイントは、Microsoftが講じた対策が攻撃手法に変化をもたらしたとする調査分析の結果をブログで明らかにした。

　それによると、攻撃者がメールに不正なVBAやExcel 4.0マクロを添付して送り付ける手法は、2021年10月～2022年6月に約66％減少した。一方で、ISO、RAR、ZIP、IMGなどのコンテナーファイル形式やショートカットのLNKファイルを使う手法が約175％増加した。LNKファイルを悪用する攻撃は、2月以降に少なくとも10の攻撃者グループが多用しており、2021年10月以降で1675％増加しているという。

　プルーフポイントによれば、Microsoftの講じた措置は、ユーザーの入手するファイルがインターネットからダウンロードされたものかを識別する「Zone.Identifier」で行われており、ユーザーが直接ダウンロードしたOfficeファイルについては、マクロの実行がデフォルトでブロックされるようになった。

　コンテナーファイルもZone.Identifierで識別される。しかし、その中に格納されているファイルまでは識別されない。そこで攻撃者は、不正マクロを組み込んだOfficeファイルをコンテナーファイルにしてユーザーに送り付ければ、Microsoftの講じた措置をすり抜けることができてしまう。ユーザーがコンテナーファイルを解凍して、中身のOfficeファイルの不正マクロ、あるいは細工したLNKやDLL、実行形式（exe）などのファイルを開いてしまえば、以前のようにユーザーのコンピューターにさまざまなマルウェアが送り込まれてしまう。

　プルーフポイントは、Microsoftの講じた措置がメールセキュリティにとって大きな変化になると指摘。攻撃者は、不正マクロ付きのOfficeファイルを直接メールに添付せず、その代わりにコンテナーファイル形式など別の方法で送り付けるようになると予想している。