デジタルアーツ、マクロ付きOfficeファイルについてのセキュリティレポートを公開
- 2022/03/25 10:30
- SecurityInsight
デジタルアーツは3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開したことを発表した。レポートでは、今回復活したEmotetの攻撃メールを分析し、メール拡散に使われるファイルのパターンを改めて抽出。最新のEmotetの攻撃パターンを紹介している。その概要は以下のとおり。
Emotetが2021年11月に再開して以後、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなど、さまざまな変化が見られた。
2022年3月時点でのメールによる拡散活動は、「xlsm」ファイルが添付されているパターンと、「xlsm」を格納した「パスワードZIPファイル」が添付されているパターンの2種類のみとなっている模様。
「Excel4.0(XLM)マクロ」は現在ではあまり使われなくなった古いマクロの記述方法だが、新しいバージョンのExcelでも未だに実行可能となっており、アンチウイルス回避や解析妨害のため、このマクロを悪用した攻撃が多く存在する。
「xlsm」ファイルを開いてコンテンツを有効化(マクロを有効)すると、非表示のシートにばらばらに記述された文字を使って組み立てられたコードによって「Excel4.0マクロ」が実行され、感染へと至る。従来のEmotetは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていたが、2022年3月時点では、「Excel4.0マクロ」しか用いられていない。
Microsoftは、2021年と2022年に2つの特徴的な発表をしている。まず「VBAマクロ」については、「インターネットから取得したOfficeファイルのVBAマクロをデフォルトで無効化」する措置を、2022年4月以後に適用する予定。「インターネットから取得したOfficeファイル」とは、メールの添付ファイルも含まれる。また、現在のように利用者がワンクリックで簡単に「VBAマクロ」を有効できる、という状況も改善される見通し。
「Excel4.0マクロ」については、「VBAマクロ」が有効であっても、「Excel4.0マクロ」だけを無効にできるという措置。こちらはすでに適用されており、2021年末までにMicrosoft 365ではデフォルトで「Excel4.0マクロ」は無効となっている。