全3929文字
PR

 マルウエアの常とう手段として、マクロ付きのOfficeファイルをメールで送りつけ、ユーザーに開かせて感染させる手口が長年使われてきた。これに対処するため、米マイクロソフトは2022年4月からWebやメールなどインターネット経由で入手したOfficeファイルのマクロをデフォルトでブロックするようにした。

 マクロブロックの導入により、セキュリティーレベルは向上すると予想される。だが万全ではない。回避する手口が存在するからだ。そこで今回は、マクロブロックを回避する手口を実際の検証を交えながら解説する。

「有効化」ボタンを非表示

 まず、マクロブロックの導入前後でMicrosoft Officeの動作がどう変わったのかを見ておこう。Emotetの攻撃に使われたExcelファイルを用いて検証した(図1)。

図1●ダウンロードしたマクロをデフォルトでブロック
図1●ダウンロードしたマクロをデフォルトでブロック
Emotetの攻撃に使われたExcelファイルを開いてみた。マクロは実行されないが、ブロックを解除する方法はすぐに分かる。
[画像のクリックで拡大表示]

 インターネット経由で入手したマクロ付きのファイルなので、このファイルを開くとマクロブロックの導入前も導入後も「保護ビュー」という黄色のバーが表示される。マクロブロック導入前の環境では、保護ビューにある「編集を有効にする」というボタンをクリックすると、「セキュリティの警告」を示す黄色のバーが表示される。このバーの「コンテンツの有効化」というボタンをクリックすると、マクロが実行されてEmotetに感染する。

 一方、マクロブロック導入後だと、保護ビューの「編集を有効にする」ボタンをクリックすると、マクロをブロックしたことと警告を示す「セキュリティ リスク」という赤色のバーが表示される。マクロブロック導入前にあった「コンテンツの有効化」ボタンは表示されない。

 ただし、赤色のバーにある「詳細を表示」というボタンをクリックすると、Webブラウザーが開いてマクロをブロックした理由と、ブロックを解除する手順が表示される。マクロブロック導入前よりはハードルが高くなったが、それでもユーザーがこの手順に従ってブロックを解除するリスクがある。マクロを安易に有効にしないよう、引き続き周知する必要がある。

 もう1つ注意すべき重要な点がある。今回導入されたマクロブロックは、インターネット経由で入手したと識別されるファイルだけが対象になる点だ。それ以外のファイルはマクロがブロックされない。このため入手経路によってはマルウエアに感染してしまう可能性がある。