編集部からのお知らせ
特集PDF1「導入期に入るマイクロサービス」
特集PDF2「DXレポート」

マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加

ZDNet Japan Staff

2022-07-29 14:48

 サイバー攻撃者が標的のコンピューターにマルウェアを送り込むべく、なりすましメールなどに不正マクロを組み込んだOfficeファイルを添付して送り付け、受信者にマクロを実行させる手法がある。このためMicrosoftは2月、ユーザーがインターネットから入手するOfficeファイルの VBAマクロをデフォルトでブロックする措置を講じた(7月11日にいったん解除されたが、26日から再びブロックしている)。

 メールセキュリティ企業の日本プルーフポイントは、Microsoftが講じた対策が攻撃手法に変化をもたらしたとする調査分析の結果をブログで明らかにした。

 それによると、攻撃者がメールに不正なVBAやExcel 4.0マクロを添付して送り付ける手法は、2021年10月~2022年6月に約66%減少した。一方で、ISO、RAR、ZIP、IMGなどのコンテナーファイル形式やショートカットのLNKファイルを使う手法が約175%増加した。LNKファイルを悪用する攻撃は、2月以降に少なくとも10の攻撃者グループが多用しており、2021年10月以降で1675%増加しているという。

コンテナーファイルとマクロファイルをメール添付で使う攻撃の推移(出典:日本プルーフポイント)
コンテナーファイルとマクロファイルをメール添付で使う攻撃の推移(出典:日本プルーフポイント)

 プルーフポイントによれば、Microsoftの講じた措置は、ユーザーの入手するファイルがインターネットからダウンロードされたものかを識別する「Zone.Identifier」で行われており、ユーザーが直接ダウンロードしたOfficeファイルについては、マクロの実行がデフォルトでブロックされるようになった。

 コンテナーファイルもZone.Identifierで識別される。しかし、その中に格納されているファイルまでは識別されない。そこで攻撃者は、不正マクロを組み込んだOfficeファイルをコンテナーファイルにしてユーザーに送り付ければ、Microsoftの講じた措置をすり抜けることができてしまう。ユーザーがコンテナーファイルを解凍して、中身のOfficeファイルの不正マクロ、あるいは細工したLNKやDLL、実行形式(exe)などのファイルを開いてしまえば、以前のようにユーザーのコンピューターにさまざまなマルウェアが送り込まれてしまう。

マルウェア「Bumblebee」を感染させるための攻撃の流れの例(出典:日本プルーフポイント)
マルウェア「Bumblebee」を感染させるための攻撃の流れの例(出典:日本プルーフポイント)

 プルーフポイントは、Microsoftの講じた措置がメールセキュリティにとって大きな変化になると指摘。攻撃者は、不正マクロ付きのOfficeファイルを直接メールに添付せず、その代わりにコンテナーファイル形式など別の方法で送り付けるようになると予想している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]