eSecurity Planetは8月3日(米国時間)、「Hackers Find Alternatives to Microsoft Office Macros|eSecurityPlanet」において、サイバー犯罪者がMicrosoft Office VBAマクロの代替手段を見つけたと伝えた。サイバー犯罪者は何年もの間、Microsoft OfficeのVBAマクロを悪用していたが、MicrosoftがデフォルトでVBAマクロをブロックしたことで戦術が変化してきているという。

近年、マルウェアを配布するためのサイバー攻撃にOfficeのVBAマクロが悪用されていた。典型的な攻撃シナリオとして、悪意のあるVBAマクロを含むWord、Excel、PowerPoint形式のファイルを添付した電子メールを送りつけるフィッシング詐欺メールがある。Microsoft は現在、デフォルトでVBAマクロをブロックしているため、ユーザーがこの手のサイバー犯罪の被害者になる可能性は低くなった。しかしながら、攻撃者はすでに別のアプローチに移行してきているという。

MicrosoftのデフォルトのVBAブロックはMOTW(Mark Of The Web)属性を利用している。OfficeファイルにVBAマクロが含まれている場合、Officeは表示時に警告を表示するようになった。MOTW属性は、ブラウザによるダウンロードや電子メールの添付ファイルなど信頼できない場所から送られてきたファイルに適用される。

しかしながら、サイバー犯罪者はこのセキュリティチェックを回避するため、.zip、.rar、.isoファイルなどの圧縮形式を使うようになったという。圧縮ファイル自体にMOTW属性が含まれていても内部のファイルに含まれていない場合、警告が表示されることなく感染したドキュメントを開くことができてしまう。

また、MOTW属性はNTFSの機能であるため、Windowsの旧バージョンでありながら全バージョンでサポートされているFATなどのNTFS代替ファイルシステムには適用されないとのことだ。多くのドライブがこの古い形式でフォーマットされており、このようなドライブからマウントまたは抽出されたファイルは、保護されないローカルファイルとして扱われる可能性がある。

サイバー犯罪者は引き続きコンテナ形式を使用して、MicrosoftのVBAマクロセキュリティを回避する。この新たな戦略に関しては他のセキュリティファームも指摘しており、異常な動作や疑わしいプロセスを早期に検出するため、すべてのエンドポイントを積極的に保護することが推奨されている(参考「VBAマクロ封じられたサイバー犯罪者次の一手、LNKファイル悪用が1,675%増加 | TECH+」)。