知って得するセキュリティのはなし その172
Officeマクロ悪用攻撃、MSの対策で減少効果…一方で回避する手口も増加
1.このニュースをザックリ言うと
- 7月28日(日本時間)、メールセキュリティ企業の日本プルーフポイント社より、Officeファイル(Word・Excel等)による攻撃に対するマイクロソフト(以下・MS)の対策とそれに伴う攻撃傾向の変化についての解説が同社ブログで行われています。
- MSではインターネットからダウンロードしたOfficeファイル上でのマクロ実行をデフォルトでブロックする措置を4月から実行しています(7月に一時無効化され、同月には再開するという事態にもなっています)。
- プルーフポイント社の調査では、攻撃者によるマクロ添付ファイルの使用が2021年10月から2022年6月の間に約66%減少しているとのことです。
- 一方で、Officeファイルを直接添付するものではなく、 .lnk(ショートカット)や .dll(ライブラリ)ファイルを含む .zipファイル、さらにそれを格納した .iso(DVD-RやBD-R等のイメージ)ファイルを添付することにより、ブロック措置を回避する攻撃も確認されているとしています。
2.執筆者からの所感等
- 「インターネットからダウンロードした」ことを示すフラグがOfficeファイルに付加されている場合にマクロの実行をブロックするという挙動となっており、今までもメールの文章でファイルに付加されたフラグを解除させることにより、マクロを実行させるよう誘導する手口は多くとられていましたが、前述の.zipや.isoファイルを用いるものは、それらから展開したファイルにはフラグが付加されない場合があることを悪用したものとみられています。
- .lnkファイルを用いる手口は、OfficeマクロではなくPowerShellスクリプト等を実行させるもので、例えばEmotetでこの手口がとられています。
- くれぐれも「不審なWord・Excelファイルを開いたり、マクロを有効化したりしない限り、マルウェアに感染することはない」といった先入観に囚われず、セキュリティベンダーや団体が提供する情報の収集を随時行い、刻々と変化する攻撃手法について理解しつつ行動することが肝要です。
