未来へつなげるためには、まず“地固め”を――今アップデートが必要な3つの視点をリサーチャーズが語る：ITmedia Security Week 2022 秋

2022年9月に開催された「ITmedia Security Week 2022 秋」の「未来へつながるセキュリティ」ゾーンにおいて、＠ITのセキュリティセミナーではおなじみとなったセキュリティリサーチャーズによるディスカッション「疑え！常識！紡いで未来」が行われた。ポッドキャスト「セキュリティのアレ」でも活躍する、根岸征史氏、辻伸弘氏、piyokango氏の3人が“未来”をテーマにしつつ、“地固め”をしていこうという内容で登壇。これからのセキュリティ対策で見逃してはならないポイントを、それぞれの視点で語った。

[宮田健，＠IT]

第1の視点：「ポストマクロの波」を考える

　最初の視点は、piyokango氏が気になるという「ポストマクロ」に関してだ。ここでいう「マクロ」とは、「Microsoft Office」で動くマクロを指しており、2022年9月、インターネットから入手したOffice文書のマクロは既定でブロックされるという挙動となった。これに関しては反応もさまざまで、SNS上でもその挙動の変化に戸惑う声も見掛ける。

• Office では、インターネットからのマクロが既定でブロックされます - Deploy Office | Microsoft Learn
• ネットワーク上のマクロ入りExcelが全力でブロックされるようになったらしい - Togetter

　Microsoftが挙動を変えることをアナウンスしたのは2021年の秋ごろだ。マクロ機能を悪用したマルウェアは深刻な被害を与えている。その対策として、「インターネットから取得したファイルに関して、既定でマクロの実行を制限する」という仕組みにする。現在、この既定変更は順次展開されている状況だが、piyokango氏も「結構衝撃で、ついに来たか、という判断」と述べる。

　しかし、これは攻撃者にはどう見えているのだろうか。これまでマクロは、攻撃のためにも広く活用されてきた機能だ。piyokango氏は「マクロが使いにくくなったら、次に何が来るのかは当然気になるところ」と述べる。これが、ポストマクロの波だ。

ポストマクロの波が来る（左から辻氏、piyokango氏、根岸氏）

　セキュリティベンダーによる各種調査を見ても、「VBA（Visual Basic for Applications）マクロやExcel 4.0マクロの悪用の動きは顕著に減少傾向にある」とpiyokango氏は述べる。しかし、攻撃そのものが沈静化しているわけではない。マクロに代わり、これまでも使われてきた他の手法（例えばショートカットの拡張子「.lnk」、イメージファイルの拡張子「.iso」など）が悪用されるケースが増えているのだ。

• 攻撃者はマクロ無効化にどう適応するのか？ | Proofpoint JP

　例えば「Bumblebee」というマルウェアローダーは、これまでEmotetで行われたようなメールの会話に入り込むスレッドハイジャックで、メールに添付したisoファイルを元に感染させる。isoファイルの中にはショートカットのlnkファイルが含まれており、これを実行すると感染してしまう。少し遠回りのようにも見えるが、これまでのマクロ付きファイルを使っていた手法と大きくは変わらない。

　ここで注目したいのが、Microsoftが全てのマクロを無効化したわけではないということだ。あくまでインターネット経由でダウンロードしたファイルのみが制限の対象となる。これは「Mark of the Web」（MOTW）というフラグを元に管理しており、Web経由であることを示すフラグがあるかないかで制限が働く。

• Comparison of MOTW (Mark of the Web) propagation support of archiver software for Windows

　攻撃者視点ではこれをなんとか回避することを試みる。その手法の一つが上記のisoファイルを経由したものだ。この手法では、isoファイル自体にはMOTWフラグが付加されているが、isoを展開したイメージ内にあるlnkファイルにはフラグが立たず、実行されてしまう。

ポストマクロ時代、今後マクロ対策は不要なのか