編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

マイクロソフト、「Excel」マクロ悪用マルウェア対策を強化

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2021-03-05 11:06

 マクロを悪用したマルウェアは1990年代からハッカーらに多用されており、近年でもガードのあまいユーザーのデバイスにマルウェアを仕掛けるシンプルな方法として利用されている。

 ウクライナ政府は2月、ロシア政府のスパイが悪意あるマクロを含んだ文書をウクライナ政府の文書共有サイトにアップロードしたとして非難した。またMicrosoftは、新型コロナウイルスのパンデミックの第1波が襲っているさなか、悪意あるマクロを含んだ「Excel」ファイルが添付された電子メールに関する警告を発した。

 Microsoftは、「Antimalware Scan Interface」(AMSI)と「Office 365」の統合によって、マクロを利用したマルウェアを根絶するための取り組みを何年にもわたって続けている。これにより「VBA」で記述されたマクロスクリプトを駆逐することに一定の成果を収めたものの、攻撃者らは1992年の「Excel 4.0」で導入された旧形式のマクロ言語である「XLM」を利用するようになった。

 現在、MicrosoftはAMSIとOffice 365の統合機能をMicrosoftは拡張する取り組みの一環として、XLMマクロを実行時にスキャンする機能を搭載し、XLMのセキュリティをVBA並みに高めようとしている。

 AMSIにより、アプリケーションは「Windows」マシン上のウイルス対策ソフトウェアと連携し、ウイルス対策ソフトはOffice文書内に潜んでいるさまざまな悪意あるスクリプトを検出、ブロックできるようになる。Microsoftは、同社のウイルス対策ソフトウェア「Microsoft Defender」製品で、XLMベースのマルウェアを検出、ブロックするためにこの連携機能を利用しており、他のウイルス対策製品のプロバイダーもこの機能を採用するよう奨励している。

 XLMは1993年にVBAに取って代わられたものの、一部の顧客は現在もXLMを利用しているため、Excelでサポートが続けられている。

 Microsoftのセキュリティチームは、「XLMはVBAに比べると初歩的だが、OSとの相互運用性という点で十分パワフルな機能を有しているため、多くの組織やユーザーは適切な目的で利用し続けている。サイバー犯罪者もそのことを熟知しているため、Win32 APIを呼び出してシェルコマンドを実行する目的でXLMマクロを悪用するケースがますます増えている」と説明した。

 またこのチームによると、2018年にAMSIのVBA実行時のスキャン機能を実現したことで、「マクロの難読化機能を搭載したマルウェアの武装を実質的に無力化し、悪意あるコードの詳細な精査が可能になった」という。

 その結果、「『Trickbot』『Zloader』『Ursnif』の背後にいる脅威アクターは必然的に、セキュリティソリューションの網の目をかいくぐって悪用、運用するために他の機能を探し出そうとし、適切な代替をXLMに見出した」という。

 ウイルス対策ソフトウェアが悪意あるXLMマクロを検出した場合、同マクロは実行されず、Excelは処理を終了するため、攻撃を抑止することができる。

 XLMマクロの実行時検査機能は、「Microsoft Excel」で既に利用可能となっており、「Microsoft 365」のサブスクリプションユーザー向けには、2月の「Current Channel」と「Monthly Enterprise Channel」からデフォルトで有効化されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]