ナビゲーションをスキップする
BlackBerry ブログ
  1. BlackBerry ThreatVector Blog
  2. 2022
  3. 09
  4. マクロを取り巻くセキュリティに関する懸念:無効化すべきか?それともデフォルトで有効とすべきか?

マクロを取り巻くセキュリティに関する懸念:無効化すべきか?それともデフォルトで有効とすべきか?

セキュリティ / 09.23.22 / David Gast

目次

  1. マクロの用途
  2. マクロのサイバーセキュリティリスク
  3. 悪意のあるマクロから組織を守る方法
  4. テクノロジーの活用による武器化マクロのブロック
  5. 結論

原文のブログはこちらからご覧いただけます。

マクロはブロック、あるいは無効化すべきでしょうか ? この議論は、最近になって再びサイバーセキュリティの注目テーマとなっています。2022 年の初め、脅威アクターがマクロを攻撃に使用しているとして、Microsoft 社が特定のマクロをデフォルトで無効化する方針を発表したためです。

その後、同社は「フィードバックに基づいた」判断であるとした上で、ほとんど予告なしにこの変更の実施方針を撤回しました。 この結果、組織の IT セキュリティ管理責任者の間では大きな「否定的な反響」が巻き起こっています。

そして今、同社は再び振り出しに戻り、マクロをデフォルトで無効化した製品を展開しています。オフィス生産性ツールの世界的プロバイダーがマクロのブロック方針をこのように何度も変更しているため、多くのセキュリティ担当者は、組織にどのようなアプローチが適しているのか頭を悩ませています。この機会に、マクロに関する基礎知識を身につけ、マクロを取り巻くセキュリティ上の懸念について検討してみましょう。

マクロの用途

オフィス生産性アプリケーションにおけるマクロは、ユーザーが作業を自動化したり、帳票、報告書、管理文書に機能を追加したりするためのツールとして設計されました。マクロは Microsoft® Word、Excel®、Access® などの製品で繰り返し行われる作業を自動化し、ワークフローの迅速化に貢献します。また、こうした繰り返しの作業にマクロを使用すると、多くの場合は人的ミス(たとえばデータの入力ミス)を排除できることにもなります。

従業員の生産性向上が叫ばれる今日では、あらゆるものが(少なくとも理論上は)常に改善され、よりスマートに、より速く、より安価になることが求められています。マクロは、企業がこれらの目標を達成するための優れたツールとなり得るものです。

マクロのサイバーセキュリティリスク

マクロは通常、Visual Basic Script(VBScript)で記述されます。すべてのコードやコードアセンブリと同様、こうしたコードを最大限に活用して多大な利益を生み出す人もいれば、(当然ながら)悪意のある目的にコードを悪用する方法を見つけ出す人もいます。

Microsoft® Office 製品は企業で広く用いられており、(社内および社外の)悪意のあるアクターが Visual Basic Application(VBA)マクロを隠すのにうってつけの環境となっています。

専門家の間では、マクロマルウェアは 1995 年ごろから存在しており、初の本格的な悪用事例は 1999 年の「Melissa」であると考えられています。Melissa では、アダルトサイトへのリンクを含んだ Word 文書においてマクロが使用されていました。このマクロはシステム自体に被害を与えはしなかったものの、メールサーバーの動作を妨害していました(これは、別の種類の問題が起きていたことを示唆しています)。専門家は、このとき米国企業が感染システムの正常化に要した費用は 8,000 万ドルに上ると見積もっています。

マクロ関連の脅威は、短いピークと長い谷間の時期を経ながら現れては消えてを繰り返していましたが、2014 年、マクロが有効化された Word ファイルから情報窃取型マルウェア「ZeuS」が発見されました。それ以来、マクロベースのマルウェアは急激に増加しており、手軽なソフトウェアショートカットとして、Word や Excel ファイルを介したシステムへの感染経路に利用され続けています。これらのファイルは多くの場合、請求書、領収書、法的文書など、攻撃に気づいていない被害者には正当な文書に見えるファイルを装っています。

ただし、マクロはそれ自体を特定のウイルス、ワーム、悪意のあるスクリプトとして記述することもできます。この場合、感染マシンが攻撃者のコマンドアンドコントロール(C2)サーバーに接続され、さらなる悪意のあるペイロードのダウンロードや、機密データのアップロード、あるいはその他の悪質な行為が行われる可能性があります。

結局のところ、マクロは組織のユーザーが生産性を高めるために有効活用できる一方で、マルウェアを作成するための VBA 言語としても利用される可能性があるのです。

マクロがデフォルトで無効化されていない場合、攻撃者にとっての難易度は下がります。悪意のあるマクロが埋め込まれたファイルを無防備な被害者が開きさえすれば、マルウェアがシステムに入り込めるためです。しかし、マクロがデフォルトで無効化されている場合でも、ユーザーがだまされてマクロを有効化(多くの場合、おとり文書の閲覧時に表示されたポップアップウィンドウのボタンをクリック)してしまうと、それだけで攻撃者への直接的な接続が確立され、さらなる攻撃が行われる可能性があります。

悪意のあるマクロから組織を守る方法

悪意のあるマクロから組織を守るには、いくつかの方法があります。

何よりもまず、ソーシャルエンジニアリングの手法やフィッシングメールについて、そして不審なファイルが添付された迷惑メールにどう注意すればよいかについて、ユーザーを教育することが大切です。エンドユーザーは、もし誤ってメールを開いて添付ファイルをクリックしてしまったとしても、「マクロを有効にする」というダイアログボックスが表示された際にはとにかくデスクから離れ、次に何をすべきかじっくり考える必要があることを知っておく必要があります。

こうした教育においては、次のようなシンプルな考え方をユーザーに伝えるとよいでしょう。それは、「身に覚えのない請求書、通知書、明細書、その他の添付ファイルを受け取っても、それを開かない」ということです。私たちは今日の仕事におけるストレス、プレッシャー、時間的制約の存在をつい忘れがちですが、脅威アクターはそうではありません。私たちが仕事に追われて注意散漫になればなるほど、脅威アクターにとっては好都合なのです。

多くの場合、ソーシャルエンジニアリングやその類のメールは極めて巧妙に作られているため、クリックする対象を慎重に見極める人でさえだまされてしまう可能性があります。事実、2022 年 5 月の FBI の警告によると、ビジネスメール詐欺(BEC)による米国企業の被害額は、これまでに 430 億ドルを超えると推定されています。ユーザー教育においては、「ラップトップや PC はいわば組織全体の門番であるため、会社のデバイスでメールを扱う際には、少しペースを落とす、第三者の意見を求める、電話で確認する、メールの出どころを少し調査する、などの行動をとっても構わない」と念押しすべきです。

また、メールの取り扱いについては、従業員が職場で Web ブラウザーを用いて個人的な Web メールを確認する場合もあります。これに対し、ポート 443 の HTTPS で保護された Web メールのセッションを検査しても、企業のデバイスとメールサーバー間を行き交うフィッシングメールや各種の情報が暗号化されていることがわかるだけです。従業員が有害な添付ファイルをクリックした場合、そのファイルは企業のデバイスのメモリ(RAM)上で開かれるため、脅威アクターに企業ネットワークへの不正アクセスの機会を与えてしまう可能性があります。

フィッシングやメールの添付ファイルは、サイバー犯罪者が侵害済みの文書を配信する主要な方法となっています。しかし、このようなマクロに感染したファイルは USB メモリや外部記憶装置を介して組織に入り込むことがあり、また SEO ポイズニングが行われた際には、一見安全で信頼できる Web サイトからダウンロードされる場合があることも忘れてはなりません。企業ネットワークに持ち込まれたすべてのものは、マルウェアをスキャンして安全が確認されるまで、潜在的に危険なものとして扱う必要があります。

テクノロジーの活用による武器化マクロのブロック

悪意のあるマクロをブロックする 1 つの方法は、グループポリシーオブジェクト(GPO)のトラストセンターを介して、企業の Office 365® 環境でマクロをデフォルトで無効化することです。この場合でも従業員が感染ファイルを開いてしまう可能性はありますが、マクロをデフォルトで無効化しておくことで、マクロを有効化するという行為を意識的に選択させることができます。ユーザー教育によってこの意識を高めておけば、従業員がマクロを有効化する前に少し立ち止まり、その行為に正当な理由があるかどうかを吟味できるようになるでしょう。

組織を保護するもう 1 つの方法は、他のセキュリティツールとその機能に目を向けることです。たとえば、CylancePROTECT® は AI ベースのエンドポイント保護プラットフォーム(EPP)であり、スクリプト制御と呼ばれる機能を備えています。スクリプト制御を使用すると、管理者がしかるべきシステムに対しては適切なスクリプトを有効化しながら、企業内のそれ以外の場所では他のすべての(安全でない/許可されていない)スクリプトを無効化できます。これは、システムごとにスクリプトを「ホワイトリスト化」していると言えるかもしれません。また、この機能では、人の手を介さずスクリプトを実行できる「承認済みの場所」を指定することもできます。これにより、許可されていないスクリプトや潜在的に危険なスクリプトはブロックしつつ、許可された IT 自動化スクリプトやソフトウェアのインストール/アップグレードスクリプトを使用できるようになります。

さらに、BlackBerry® のエンドポイント検知/対処(EDR)プラットフォームである CylanceOPTICS® は、コンテキスト分析エンジンを活用し、予期しない動作や潜在的に悪意のある動作を行うスクリプト(ファイルをダウンロードして未承認のディレクトリに保存するなど)をブロックします。また、悪意のある目的を隠蔽するためにエンコードされたコマンドを起動する PowerShell スクリプトもブロックできます。

結論

マクロは生産性の向上に役立つものですが、これは正当なビジネスユーザーと悪意のある脅威アクターの双方に当てはまります。ユーザー教育と高度な EPP/EDR テクノロジーを組み合わせることで、組織が自らをリスクにさらす恐れのあるマクロをブロックしながら、マクロの正当な利用によるメリットを享受することが可能となります。

 

  • お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
  • サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
  • BlackBerry Japan:https://www.blackberry.com/ja/jp
  • Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
  • Twitter(日本語): https://twitter.com/BlackBerryJPsec
  • LinkedIn: https://www.linkedin.com/company/blackberry/
  • Youtube(日本語)https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos

    •  

    イベント日程

     

    David Gast

    About David Gast

    David Gast (PMP, CEH, SEC+, ITIL 4 DPI) は BlackBerry のテクニカル・エディトリアル・コントリビューターであり、通信セキュリティと運用におけるセキュリティに20年以上携わった米軍の退役軍人です。米空軍のサイバー部隊に10年間所属した後、サイバーインストラクターとして、民間企業に貢献しています。

    戻る