Microsoft Excel now blocking untrusted XLL add-ins by default
2023/03/07 BleepingComputer — 世界中の Microsoft 365 テナントに配置される、表計算ソフトの Excel において、信頼できない XLL アドインをデフォルトでブロックするようになったと、Microsoft が発表した。同社は、この変更について 2023年1月に発表しているが、Insiders 向けにロールアウトの初期テスト・フェーズに入ったときに、この新しいエントリーが Microsoft 365 のロードマップに追加された。この新機能は、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの全デスクトップ・ユーザーにロールアウトされた後の3月下旬までに、世界中のマルチ・テナントで一般でも利用可能になる予定だ。
Microsoft 365 Message Center は、「XLL アドインを実行する Excel Windows デスクトップ・アプリに対して、デフォルト変更を導入する。信頼できない場所からの XLL アドインは、デフォルトでブロックされるようになる。すでに Insiders プレビューへのロールアウトは完了している。3月上旬にロールアウトを開始し、3月下旬までに完了する予定である」と述べている。
今後において、XLL ブロックがデフォルトで有効化されたテナントでは、ユーザーが信頼できない場所から取得したコンテンツを、有効にするときに警告が表示される。 それにより、潜在的なリスクが通知され、その理由についての詳細情報が参照できるようになる。この取り組みの背景には、近年において各種の Office 文書を感染経路として悪用する、マルウェアが増加しているという傾向がある。
2018年に Microsoft は、VBAマクロを悪用する攻撃をブロックするために、AMSI のサポートを Office 365 アプリに対して拡張し、攻撃キャンペーンで使用される Office 感染ベクターを取り除くための取り組みを開始した。それ以降においても、Excel 4.0 (XLM) マクロの無効化や、XLM マクロ保護を追加し、VBA Office マクロもデフォルトでブロックされるようになった。
XLL add-ins とは?
Excel XLL ファイルは DLL であり、カスタム関数/ダイアログボックス/ツールバーなどを追加することで、Microsoft Excel の機能を拡張するものである。
しかし、この XLL アドインは、フィッシング・キャンペーンに悪用されている。一般的に XLL アドイン悪用の手口は、ビジネスパートナーなどの信頼できるエンティティを装うことで、ダウンロード・リンクや添付ファイルに潜ませた、悪意のペイロードを配信するというものだ。
XLL がデフォルトでブロックされる以前は、アドインにはウイルスなどの危険性が含まれている可能性があると警告されていた。しかし、信頼できないアドインを有効にしている被害者が、感染するという状況が多発していた。 しかも、アドインを開いてしまうと、ユーザーの操作を必要とせずに、バックグラウンドでマルウェアがインストールされるようになった。
Cisco Talos のセキュリティ研究者たちによると、国家に支援された脅威グループと、金銭的動機に基づく攻撃者 (APT10/FIN7/Donot/TA410) の双方が、標的システムに第一段階のペイロードを展開するために、XLL を悪用しているという。
Cisco Talos は、「多様なコモディティ・マルウェア・ファミリーが、XLL を感染ベクターとして採用したことで、その件数は過去2年間で大幅に増加した」と述べている。HP の脅威アナリスト・チームも、Q4 2021 threat recap において、Excel アドイン (.XLL) を使用する攻撃者の数が、2022年1月には6倍増したと報告している。
2022年1月から始まった、Microsoft Excel 4.0 マクロ対策ですが、その後に Office VBA マクロ全般へと広がり、Mark-of-The-Web (MoTW) という新しいセキュリティ機能が導入されることになりました。そして、今回の Excel の XLL add-ins を、デフォルトでブロックするという展開にいたっています。よろしければ、以下の関連記事も、ご参照ください。
2023/01/23:Excel XLL add-in の制限が 2023年3月から始まる
2022/12/28:APT:新たな手口は XLL Add-in 侵入ベクター
2021/12/05:悪意の Excel XLL アドインが RedLine をプッシュ
IoT OT Security News 
You must be logged in to post a comment.