未来へつなげるためには、まず“地固め”を――今アップデートが必要な3つの視点をリサーチャーズが語るITmedia Security Week 2022 秋

2022年9月に開催された「ITmedia Security Week 2022 秋」の「未来へつながるセキュリティ」ゾーンにおいて、@ITのセキュリティセミナーではおなじみとなったセキュリティリサーチャーズによるディスカッション「疑え!常識!紡いで未来」が行われた。ポッドキャスト「セキュリティのアレ」でも活躍する、根岸征史氏、辻伸弘氏、piyokango氏の3人が“未来”をテーマにしつつ、“地固め”をしていこうという内容で登壇。これからのセキュリティ対策で見逃してはならないポイントを、それぞれの視点で語った。

» 2022年11月02日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

第1の視点:「ポストマクロの波」を考える

 最初の視点は、piyokango氏が気になるという「ポストマクロ」に関してだ。ここでいう「マクロ」とは、「Microsoft Office」で動くマクロを指しており、2022年9月、インターネットから入手したOffice文書のマクロは既定でブロックされるという挙動となった。これに関しては反応もさまざまで、SNS上でもその挙動の変化に戸惑う声も見掛ける。

 Microsoftが挙動を変えることをアナウンスしたのは2021年の秋ごろだ。マクロ機能を悪用したマルウェアは深刻な被害を与えている。その対策として、「インターネットから取得したファイルに関して、既定でマクロの実行を制限する」という仕組みにする。現在、この既定変更は順次展開されている状況だが、piyokango氏も「結構衝撃で、ついに来たか、という判断」と述べる。

 しかし、これは攻撃者にはどう見えているのだろうか。これまでマクロは、攻撃のためにも広く活用されてきた機能だ。piyokango氏は「マクロが使いにくくなったら、次に何が来るのかは当然気になるところ」と述べる。これが、ポストマクロの波だ。

ポストマクロの波が来る(左から辻氏、piyokango氏、根岸氏)

 セキュリティベンダーによる各種調査を見ても、「VBA(Visual Basic for Applications)マクロやExcel 4.0マクロの悪用の動きは顕著に減少傾向にある」とpiyokango氏は述べる。しかし、攻撃そのものが沈静化しているわけではない。マクロに代わり、これまでも使われてきた他の手法(例えばショートカットの拡張子「.lnk」、イメージファイルの拡張子「.iso」など)が悪用されるケースが増えているのだ。

 例えば「Bumblebee」というマルウェアローダーは、これまでEmotetで行われたようなメールの会話に入り込むスレッドハイジャックで、メールに添付したisoファイルを元に感染させる。isoファイルの中にはショートカットのlnkファイルが含まれており、これを実行すると感染してしまう。少し遠回りのようにも見えるが、これまでのマクロ付きファイルを使っていた手法と大きくは変わらない。

 ここで注目したいのが、Microsoftが全てのマクロを無効化したわけではないということだ。あくまでインターネット経由でダウンロードしたファイルのみが制限の対象となる。これは「Mark of the Web」(MOTW)というフラグを元に管理しており、Web経由であることを示すフラグがあるかないかで制限が働く。

 攻撃者視点ではこれをなんとか回避することを試みる。その手法の一つが上記のisoファイルを経由したものだ。この手法では、isoファイル自体にはMOTWフラグが付加されているが、isoを展開したイメージ内にあるlnkファイルにはフラグが立たず、実行されてしまう。

ポストマクロ時代、今後マクロ対策は不要なのか

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。