マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加

ZDNET Japan Staff

2022-07-29 14:48

 サイバー攻撃者が標的のコンピューターにマルウェアを送り込むべく、なりすましメールなどに不正マクロを組み込んだOfficeファイルを添付して送り付け、受信者にマクロを実行させる手法がある。このためMicrosoftは2月、ユーザーがインターネットから入手するOfficeファイルの VBAマクロをデフォルトでブロックする措置を講じた(7月11日にいったん解除されたが、26日から再びブロックしている)。

 メールセキュリティ企業の日本プルーフポイントは、Microsoftが講じた対策が攻撃手法に変化をもたらしたとする調査分析の結果をブログで明らかにした。

 それによると、攻撃者がメールに不正なVBAやExcel 4.0マクロを添付して送り付ける手法は、2021年10月~2022年6月に約66%減少した。一方で、ISO、RAR、ZIP、IMGなどのコンテナーファイル形式やショートカットのLNKファイルを使う手法が約175%増加した。LNKファイルを悪用する攻撃は、2月以降に少なくとも10の攻撃者グループが多用しており、2021年10月以降で1675%増加しているという。

コンテナーファイルとマクロファイルをメール添付で使う攻撃の推移(出典:日本プルーフポイント)
コンテナーファイルとマクロファイルをメール添付で使う攻撃の推移(出典:日本プルーフポイント)

 プルーフポイントによれば、Microsoftの講じた措置は、ユーザーの入手するファイルがインターネットからダウンロードされたものかを識別する「Zone.Identifier」で行われており、ユーザーが直接ダウンロードしたOfficeファイルについては、マクロの実行がデフォルトでブロックされるようになった。

 コンテナーファイルもZone.Identifierで識別される。しかし、その中に格納されているファイルまでは識別されない。そこで攻撃者は、不正マクロを組み込んだOfficeファイルをコンテナーファイルにしてユーザーに送り付ければ、Microsoftの講じた措置をすり抜けることができてしまう。ユーザーがコンテナーファイルを解凍して、中身のOfficeファイルの不正マクロ、あるいは細工したLNKやDLL、実行形式(exe)などのファイルを開いてしまえば、以前のようにユーザーのコンピューターにさまざまなマルウェアが送り込まれてしまう。

マルウェア「Bumblebee」を感染させるための攻撃の流れの例(出典:日本プルーフポイント)
マルウェア「Bumblebee」を感染させるための攻撃の流れの例(出典:日本プルーフポイント)

 プルーフポイントは、Microsoftの講じた措置がメールセキュリティにとって大きな変化になると指摘。攻撃者は、不正マクロ付きのOfficeファイルを直接メールに添付せず、その代わりにコンテナーファイル形式など別の方法で送り付けるようになると予想している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]