マイクロソフトが昨年末、Windows Office アプリケーションに対して VBA および XL4 マクロをデフォルトでブロックすると発表した後、攻撃者は代わりに ISO や RAR 添付ファイル、Windows ショートカット (LNK) ファイルなどのコンテナ ファイルを使用してペイロードを配信し始めました。
「脅威ランドスケープ全体にわたって行動が変化しているのを目の当たりにしています。当社の研究者がレポートで述べているように、彼らはこれが近年におけるメール脅威ランドスケープにおける最大の変化の一つであると確信しています」と、Proofpointの脅威調査・検知担当バイスプレジデント、シェロッド・デグリッポ氏は述べています。「脅威アクターは、何が効果的で何が効果的でないかに注意を払い、攻撃をより効果的にする方法を常に模索しています。」
セキュリティベンダーのProofpointによると、2021年10月から2022年6月の間に、マルウェアペイロードを配信するためのマクロの使用は66%減少しました。
VBAマクロは、ユーザーがOfficeアプリケーションでマクロを有効にしている場合に、脅威アクターが悪意のあるコンテンツを自動的に実行するために利用されます。Proofpointによると、XL4マクロはExcelアプリケーションに特有のものですが、脅威アクターによって武器化される可能性もあります。脅威アクターは、ファイルの内容を表示するために必要なマクロをユーザーに有効にさせるために、ソーシャルエンジニアリングの戦術を用います。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
「悪意のある人物がOfficeファイル内のマクロをエンドユーザーに送り、エンドユーザーが知らないうちにマクロを有効にすると、悪意のあるペイロードが配信され、マルウェア、個人情報の侵害、データ損失、リモートアクセスなど、深刻な影響が生じる可能性があります」とマイクロソフトはこの問題を取り上げたブログ記事で述べた。
ウェブのマークをバイパスする
Microsoftは、ファイルがインターネット(制限されたソース)から送信されたかどうか、つまり信頼できるかどうかを示すゾーン識別子として知られるWebマーク(MOTW)属性に基づいてVBAマクロをブロックします。問題は、マクロが有効になっているドキュメントを送信する際に、ISO(.iso)、RAR(.rar)、ZIP(.zip)、IMG(.img)などのコンテナファイル形式を使用すると、MOTWを回避できることです。
Proofpointはプレスリリースで、「ダウンロードされたISOファイルやRARファイルなどはインターネットからダウンロードされたため、MOTW属性が付与されますが、マクロが有効になっているスプレッドシートなどの内部文書には付与されません」と述べています。「文書を解凍した後、悪意のあるコードを自動的に実行するには、ユーザーは依然としてマクロを有効にする必要がありますが、ファイルシステムは文書がWebからダウンロードされたものとして認識しません。」
Proofpointによると、攻撃者はコンテナファイルを使ってペイロードを直接配布することもできる。コンテナファイルは、開くと悪意のあるペイロードのインストールにつながるLNK、DLL、または実行可能ファイル(.exe)を隠すことができる。Excel用のダイナミックリンクライブラリ(DLL)ファイルの一種であるコンテナXLLファイルも、Microsoftが2021年にXL4マクロを無効にすると発表した後、使用がわずかに増加している。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Proofpointは、マルウェア配信にHTML添付ファイルがわずかに増加していると報告しています。HTML添付ファイルを使用したマルウェアキャンペーンの数は、2021年10月から2022年6月にかけて2倍以上に増加しましたが、全体的な数は依然として低い水準にとどまっています。
「ファイルの種類は変化しているにもかかわらず、脅威アクターは依然として、人々にファイルを開いてクリックさせるために、多岐にわたるソーシャルエンジニアリングの戦術を用いています」とデグリッポ氏は述べた。「最善の防御策は、人々をセキュリティ戦略の中心に据えた多層的なアプローチです。」
