Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環

Microsoft disables Excel 4.0 macros by default to block malware

2022/01/21 BleepingComputer — Microsoft は、悪意のドキュメントから顧客を守るために、Excel 4.0 (XLM) のマクロをデフォルトで無効にすることを発表した。同社は2021年10月に、Microsoft 365 Message Center のアップデートにおいて、ユーザーや管理者が手動で機能の ON/OFF を切り替えていない場合、すべてのテナントで XLM マクロを無効にすることを初めて明らかにした。

2021年7月以降、Windows 管理者はグループ・ポリシーを使用して、Excel TrustCenter の ”Enable XLM macros when VBA macros are enabled” 設定を用いて、この機能をマニュアルで無効にできるようになっている。

Microsoft の Principal Program Manager Lead である Catherine Pidgeon は、今週初めに Tech Community で、「2021年7月に、Excel 4.0 (XLM) マクロの使用を制限するための、新しい Excel Trust Center 設定オプションをリリースした。Excel 4.0 (XLM) のマクロを開く際には、この設定をデフォルトにした。それにより、関連するセキュリティの脅威から、顧客を守ることができる。管理者は、グループ・ポリシー設定/クラウド・ポリシー/ADMX ポリシーを用いて、Excel マクロ実行に関する許可を設定できる」と述べている。

なお、Group Policy Editor やレジストリ・キーで設定可能な、Prevent Excel from running XLM macros グループ・ポリシーを ON にすることで、環境内での全ての Excel XLM マクロの使用 (ユーザーが作成した新規を含む) をブロックできる。現状では9月のフォークから、XLM マクロはデフォルトで無効になっているが、Excel の Ver 16.0.14527.20000 以降は、以下のように入手できる。

  • Current Channel ビルド 2110以降(2021年10月初旬)
  • Monthly Enterprise Channel ビルド2110以降(2021年12月初旬)
  • Semi-Annual Enterprise Channel (Preview) ビルド 2201以降(2022年3月)
  • Semi-Annual Enterprise Channel ビルド2201以上(2022年7月に出荷予定)

    XLM (別名 Excel 4.0) マクロは、Microsoft が VBA マクロを初めて導入した 1993年まで、つまり Excel 5.0 がリリースされるまで、Excel のデフォルトのマクロ形式であり、これまではデフォルトで ON になっていた。

    そして、このマクロを悪用してマルウェアを送り込むキャンペーンにおいては、TrickBot/Zloader/Qbot/Dridex などの、さまざまな種類のマルウェアがダウンロード/インストールされたことが確認されている。

    また、Microsoft は 2019年10月に、Excel ユーザーが IQY/OQY/DQY/RQY といった拡張子を持つ、信頼されていない (悪意のある可能性のある) Microsoft Query ファイルを開くのを、管理者がブロックできるグループ・ポリシーを静かに追加していた。
    このようなファイルは、2018年初頭以降、リモート・アクセス・トロイの木馬やマルウェア・ローダーを配信するために、数多くの攻撃で武器とされてきた。

マクロは便利な機能ですが、それと同時にマルウェアの展開にも加担してしまます。したがって、セキュリティの視点から見れば、とても厄介なものとなります。それは、Microsoft Office 製品に限らず、Google Doc や PDF についても言えることです。これまで、そのままにされてきた Excel 4.0 マクロが、ディフォルトで OFF にされるというのも、時代の流れなのでしょう。

%d bloggers like this: