Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF

Microsoft plans to kill malware delivery via Office macros

2022/02/07 BleepingComputer — 4月上旬より Microsoft は、インターネットからダウンロードした VBA マクロを、いくつかの Microsoft Office アプリで有効にし難くし、脅威アクターたちに好まれるマルウェア配布方法を、事実上死滅させることを発表した。悪意の Office 文書に埋め込まれた VBA マクロの悪用は、Emotet/TrickBot/Qbot/Dridex などのマルウェをフィッシング攻撃でプッシュする際の、きわめて一般的な手法である。

Microsoft は、「この変更は、Windows が動作するデバイス上の Office にのみに、具体的には Access/Excel/PowerPoint/Visio/Word に影響する。2022年4月上旬のCurrent Channel (Preview) を皮切りに、Version 2203 でロールアウトを開始しする」と述べている。

この変更がロールアウトされた後の Office ユーザーは、マクロが自動的にブロックされ、ボタンをクリックしてもマクロを有効にできなくなる。
その一方で、悪意の Office ドキュメントを介して家庭や企業のネットワーク上に、トロイの木馬やランサムウェアなどのマルウェアを配信する攻撃が、自動的に阻止される。

現時点において、つまり、新しい自動ブロックがデフォルトで有効になるまで、Office がドキュメントを開くと、インターネットからダウンロードされたことを示す Mark of the Web (MoTW) タグのチェックが行われる。

このタグが見つかったケースでは、読み取り専用モードでドキュメントが開かれ、ドキュメントの上部に表示されている Enable Editing および Enable Content ボタンを、ユーザーがクリックしない限り、エクスプロイトはブロックされる。

さらに、ユーザーが MoTW を解除するボタンを削除し、デフォルトで信頼できないソースからのマクロをブロックすることで、ほとんどの悪意のドキュメントが実行されなくなり、この弱点を悪用するマルウェア攻撃は阻止される。

Office macros security alert
Mockup of new Office macros security alert (BleepingComputer)


“SECURITY RISK: Microsoft has blocked macros from running because the source of this file is untrusted” という警告が表示される。

Microsoft によると、このセキュリティ上の改善は、Current Channel/Monthly Enterprise Channel/Semi-Annual Enterprise Channel などの、Office アップデート・チャネルにも展開されるとのことだ。また、このアップデートは、Office LTSC/Office 2021/Office 2019/Office 2016/Office 2013 のユーザーにも、後日プッシュされる予定だ。

Microsoft Office Platform の Partner Group Program Manager である Tristan Davis は、「ソーシャル・エンジニアリングがユーザーを騙して、悪意のコードを実行させることが困難になるように、今回のマクロに関するような、ユーザー・エクスペリエンスの調整を続けていく。その一方で、Trusted Publishers や Trusted Locations を介して、適切な場所で正当なマクロを有効にするためのパスを維持していく」と述べている。

今回の Office アップデートにより、インターネットからダウンロードしたドキュメント上の、ワンクリックによるマクロの有効化がブロックされた後も、ドキュメントのプロパティを開き、右下の “Unlock” ボタンをチェックすることで、マクロを有効にできる。

Office のサポート・ページでは、マクロに潜むセキュリ・ティリスクや、フィッシングおよびマルウェアの攻撃を阻止する安全な方法が確認できた場合に、これらのマクロを有効にするための詳細情報が掲載されている。また先月に Microsoft は、マルウェアへの感染を目的とした悪意のドキュメントから顧客を守るため、Excel 4.0 (XLM) のマクロをデフォルトで無効にすると発表している。この変更は、2021年10月に発表されたものであり、ユーザーまたは管理者が手動でオンに切り替えていない場合、すべてのテナントで XLM マクロを無効にするというものだ。

1月21日の「Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環」と、先ほどの「Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ」も、マルウェアの展開を止めるための処置です。この VBA マクロの件と合わせて考えると、セキュリティに対する Microsoft のスタンスが見えてきます。Office のマクロは、とてもパワフルな機能であるだけに、とても残念なことだと思いますが、仕方のない方針転換だと思います。マクロで出来ることに制限がかけられ、これまでのようにユーザー間で手軽に共有できるようになると良いですね。