VBScript 廃止へのステップが始まる:非推奨化計画の Phase_1

Microsoft to start killing off VBScript in second half of 2024

2024/05/22 BleepingComputer — 5月22日に Microsoft が発表したのは、2024年後半から VBScript を非推奨にし、完全な削除までの期間において、オンデマンドとして提供するという方針である。オンデマンド (FOD:Features on Demand) とは、Windows のオプション機能である、.NET Framework/.NetFx3/Hyper-V/Windows Subsystem for Linux などのことを指し、デフォルトではインストールされないが、必要に応じて追加することが可能な機能のことである。


Microsoft の Program Manager である Naveen Shankar は、「技術は年々進歩し、JavaScript や PowerShell のような、より強力で汎用性の高いスクリプト言語が誕生してきた。これらの言語は、より広範な機能を提供し、最新の Web 開発や自動化タスクに適している。2024年の 後半に予定されている、新しい OS リリースから、VBScript はオンデマンド機能 (FOD) として利用できるものになる。より効率的である、PowerShell エクスペリエンスへと移行するため、今後の Windows OS リリースにおいて、VBScript は完全に廃止される」と述べている。

Microsoft の非推奨化計画は、3つのフェーズで構成されている。第一のフェーズは2024年後半に始まり、VBScript は Windows 11 24H2 のオプション機能として、デフォルトで有効となる。

2027年頃に開始される第二フェーズでは、VBScript はオンデマンド機能として、引き続き利用可能だが、プリ・インストールはされなくなる。

そして、第三フェーズでは、VBScript は Windows から削除され、廃止される。その結果、すべての VBScript DLL が削除され、VBScript を使用するプロジェクトは機能しなくなある。

VBScript deprecation timeline
VBScript deprecation timeline (Microsoft)

2023年10月に Microsoft が明らかにしたのは、30年にわたりシステム・コンポーネントとして利用されてきた VBScript (Visual Basic Script/Microsoft Visual Basic Scripting Edition) を、Windows 上から廃止することだった。

このプログラミング言語は、Internet Explorer にバンドルされており (Windows 10 の一部バージョンでは 2023年2月に無効化)、Windows Script を用いるタスクの自動化やアプリケーションの制御で利用されてきた。

それに先立つ 2019年7月の Patch Tuesday 累積アップデートで VBScript は、Windows 10 のInternet Explorer 11 のデフォルトでは無効化に切り替わっている。この動きは、ユーザーをマルウェアに感染させる攻撃ベクターとして、脅威アクターたちが悪用する Windows と Office の機能を削除するという、広範な戦略の中での措置である。

具体的に言うと、攻撃者たちはマルウェア・キャンペーンで VBScript を悪用し、Lokibot/Emotet/Qbot/DarkGate などのマルウェアを配信してきた。2018年の時点で Microsoft が、Antimalware Scan Interface (AMSI) のサポートを、Office 365 クライアント・アプリへと拡大し、Office VBA マクロを悪用する攻撃を抑制したときから、このような動きが生じている。

それ以降の Microsoft は、Excel 4.0 (XLM) マクロを無効化し、VBA Office マクロのデフォルト・ブロックを義務付け、XLM マクロ保護を導入してきた。また、世界中の Microsoft 365 テナントにおいて、信頼できない XLL アドインに対するデフォルトでのブロックを開始してきた。

Microsoft におけるスクリプト/マクロの問題が、ようやく収束しそうな感じですね。人的リソースである開発者の移行も伴うため、プログラミング言語の移行には、膨大な時間が必要となります。ちょっとレイヤの異なる話となりますが、いま CISA などが推進しようとしている、Security by Design におけるメモリセーフな開発言語への移行も、同様の問題を抱えていると思えます。こちらも、早く具体化すると良いですね。よろしければ、Microsoft で検索も、ご利用ください。