Microsoft のマクロ・ブロックに挑む攻撃者たち：何がどう変わったのか？ – Proofpoint

How Cybercriminals Adapted to Microsoft Blocking Macros by Default

2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。

お気に入りの戦術を失ったハッカーたちは、目的の場所へとマルウェアを送り込むための、新しい方法を考え出す必要性に迫られている。

このトレンドに関する最新レポートの著者である Selena Larson は、「多くの点において、彼ら壁にスパゲッティを投げつけて、何が刺さるか試しているようなものだ。新しい攻撃の連鎖を生み出すために費やされているエネルギーは、実にユニークである」と述べている。

攻撃者はどのように適応してきたのか

これほど単純な方針転換が、サイバー犯罪の状況に大きな変化をもたらしたことは稀である。Microsoft が発表した 2021年の時点で、Proofpoint の研究者たちは、マクロを利用する悪質キャンペーンを 1000件以上も追跡していた。

しかし、ポリシー変更が適用された 2022年には、マクロを使用した攻撃は 66% も減少した。そして、2023年にが、サイバー攻撃からマクロは完全に姿を消している。

ハッカーたちは、マクロに代わる別の解決策を必要としている。昨年には、インターネットからダウンロードしたファイルに対する、Microsoft の MoTW (mark-of-the-Web) タグを回避できる、人気の代替手段としてコンテナ・ファイルが登場した。しかし、Microsoft が、コンテナによる回避策に対応すると、この種のファイルもマクロの道を歩むことになった。

それからも、ハッカーたちは、新しい金のなる木を探し続けている。2022年の下半期において Proofpoint の研究者ちは、HTML の添付ファイルに暗号化されたスクリプトを紛れ込ませる、HTML スマグリングが大幅に増加していることを確認している。

2023年には、古き良き時代の PDF が、攻撃者にとって人気のファイル・フォーマットであることが証明された。また、2022年12月には、Microsoft のメモ・アプリ OneNote を、マルウェアの配信手段として利用する悪質キャンペーンが発生した。このトレンドに乗った数十の脅威たちが、2023年1月からの数カ月の間に、120件を超えるキャンペーンで OneNote を利用している。

Larson は、「しかし、まだ何も定着していない。私たちは、マクロ化された添付ファイルのような、耐久性を持つものを認識していない」と述べている。

セキュリティチームにとっての意味

Larson は、「攻撃者は、より創造的にならざるを得ないため、失敗やミスを犯す機会が増えている。しかし、快適な環境から、サイバー犯罪者を追い出すには代償が必要だ。サイバー犯罪者たちが試みている、さまざまな攻撃の連鎖は、その速度と範囲において際立っている」と述べている。

彼女は、「そのため、サイバー攻撃から身を守る側も、彼らのように素早く対応する必要がある。脅威アクターたちは、既存の検知手段を回避するために、さまざまな方法を試みている。したがって、私たちは、脅威者の行動に対してプロアクティブになり、新しい検知手段やルールなどを考え出す必要がある」と指摘している。

また、企業／組織も、常に最新の動向を把握する必要がある。セキュリティ・トレーニングを受けるべきだ。多くのケースにおいて、マクロ化された文書について、人々はトレーニングを受けている。いまは、PDF の新たな悪用手法をユーザーに認識させ、潜在的な脅威の実例を用いることを、セキュリティ・トレーニングに取り入れる必要があると、彼女は言う。

Larson は、「しかし、全体的なセキュリティの観点からは、ユーザーに意識させることさえできれば、劇的に変わる必要はないと思う。おい、こういうことに気をつけろよ！という感じである」と締め括っている。

Windows の Mark of the Web (MoTW) 保護の回避を試みるハッカーと、Microsoft の長い戦いは、まだ、終わっていないようです。Selena Larson さんは、ユーザーを心配させないようにと、少し楽観的なスタンスからコメントを発していますが、マクロとは関係のないところで、フィッシング・ルアーに使われ続けるのは、間違いないところでしょう。よろしければ、MoTW で検索および、OneNote で検索も、ご利用ください。