Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー

Microsoft rolls back decision to block Office macros by default

2022/07/07 BleepingComputer — 今年の初めに Microsoft は、ダウンロードした Office 文書に含まれる VBA マクロをデフォルトでブロックすると発表したが、この木曜日には、この変更に関する通知を行うまでの間、「フィードバック」に基づきロールバックすると発表した。 また、同社は、この決定の背後にある理由を説明できず、Access/Excel/PowerPoint/Visio/Word において、悪意の Office 文書に埋め込まれた VBA マクロが自動的にブロックされなくなることを、公には顧客に通知していない。

木曜日に同社は、Microsoft 365メッセージセンター (MC393185 または MC322553 の下) で「フィードバックに基づき、我々は Current Channel を介して、この変更をロールバックしている。これまでに寄せられたフィードバックに感謝し、このエクスペリエンスを改善するために取り組んでいる。Current Channel に再度リリースする準備ができたら、またアップデートを提供する」 と管理者に通知した。

この変更は、以前に BleepingComputer も伝えているように、2022年4月上旬のCurrent Channel (Preview) を皮切りに Version 2203で展開が始まり、2022年6月には一般提供に到達する予定だった。

VBA マクロは、悪意の Office ドキュメントを添付したフィッシング攻撃により、さまざまなマルウェア株 (Emotet/TrickBot/Qbot/Dridex などをプッシュする方法として認識されていることから、この変更は歓迎され、大いに期待されるものであった。VBA マクロがデフォルトでブロックされることで、マルウェアを送り込む攻撃が自動的に阻止されると、誰もが期待していた。

VBA マクロの自動ブロックが有効なシステムでは、「セキュリティリスク:このファイルのソースは信頼できないため、Microsoft はマクロの実行をブロックしている」という、セキュリティ警告が表示される。

この警告をクリックすると、脅威アクターが Office マクロを使用する際のセキュリティリスクに関する情報と、絶対に必要な場合においてマクロを有効にする手順が表示される。

Mockup of new Office macros security alert (BleepingComputer)

説明と透明性の向上を求めるユーザーの混乱

水曜日に Microsoft は、この変更を Current Channelでロールバックした。そして Microsoft の顧客は、マクロが埋め込まれたダウンロード済みの Officeドキュメントの上部に、以前のように [編集を有効にする] または [コンテンツを有効にする] ボタンが表示されていることに初めて気づいた。

ある Microsoft Office ユーザーは、VBA マクロが無効になると発表した2月のMicrosoft のブログ投稿に対して、「私だけだろうか?この変更は、Current Channel で、この変更はロールバックされているのか?ごく最近、何かが、この新しいデフォルトの動作を元に戻したように感じる、多分、Microsoft Defender がブロックを上書きしているのか?」と、新たに質問していた。

Microsoft 365 Office Team の Principal GPM for Identity and Security であるAngela Robertson は、「受け取ったフィードバックに基づき、ロールバックが開始された。ロールバックに関するアップデートは現在進行中だ。変更に関するアップデートが公開される前に、ロールバックが開始され、ご迷惑をおかけした」と回答している。

別の顧客は、この変更を発表した後の Microsoft のコミュニケーション不足について不満を述べ、このロールバックに関する詳細な情報を、別の場所で共有するよう同社に要請した。

その顧客は、「これが現在の形で完全に実装された場合、標準的な SMB だけではなく、中堅企業でさえも崩壊するだろう。製品を管理するための大規模なチームを持っている、大企業に対応しているように見えるが、それによりユーザーベースの大半が構成されているわけではない。リリースする前に簡素化する必要があり、さらに効果的に伝える必要がある」と述べている。

別の顧客は、「先日に実装されたばかりのデフォルト動作の変更をロールバックし、そのロールバックが起ころうとしていることを発表しないことは、とてもプアな製品管理だ」と付け加えている。

この変更のロールバックにつながった否定的なフィードバックについて、Microsoft は内容を共有していないが、それらのユーザーからは、ダウンロードしたファイルから Mark-the-Web を削除するための Unblock ボタンが見つからず、マクロを有効にできないという報告が寄せられている。

また、1日に何度もとは言わないまでも、毎日のようにダウンロードするファイルのブロックを解除することが、負担になるエンドユーザーにとって問題であると、感じていた管理者もいるようだ。

Office の VBA マクロ・ブロックに関する経緯ですが、大まかなところで 1月21日の Microsoft Excel 4.0 マクロはディフォルトで OFF/2月7日の Office VBA MoTW マクロはディフォルトで OFF/4月25日の Emotet が VBA マクロ制限への対抗策を試している? という順序で話が進んできました。しかし、5月30日には 脆弱性 Follina によりマクロとは別経路で PowerShell コードが実行というトピックもあり、Office に対する攻撃経路が多様化しているという現実もあります。なんとなく、混乱気味ですね。

→ 2020年7月21日「Microsoft の Office マクロ問題:無効化 → 有効化 → 再無効化という紆余曲折