もっと早く対策してれば・・・
窓の杜の記事に、 ダウンロードしたVBAマクロは既定でブロックへ ~「Microsoft Office」攻撃への対策を強化 てのがありました。
米Microsoftは、インターネットから入手したVBA(Visual Basic for Applications)マクロを既定でブロックする方針を明らかにしたそうです。「Microsoft Office」を狙う攻撃からユーザーを保護するためであるとのこと。
詳細は記事に譲りますが、昨日の本ブログの Emotet感染報告が国内企業から相次いでいるそうですのでご注意を! とのエントリーでもお伝えした通り、国内でマルウェア”Emotet”の感染被害が増えています。
この”Emotet”の感染経路が、メールの添付ファイルのWordやExcelのVBAマクロによるものが非常に多いのです。
記事にもある通り、既にOfficeには「保護ビュー」と呼ばれる機能が搭載されており、インターネット(またはそのほかの信頼できないゾーン)から入手したドキュメントを開くと黄色いメッセージバーを表示し、ドキュメントを自動的に読み取り専用にする仕組みがあります。
このため、仮に添付ファイルのWordやExcelファイルを開いたとしても、スグには感染しません。それでも感染してしまうのは、この「保護ビュー」からマクロを有効にさせようと、「編集を有効にする」や「コンテンツの有効化」というボタンを押させるような文面を表示するように仕向けている場合もあるからです。
ExcelやWordの文面に「編集を有効にするをクリックして内容を確認してください」とか「コンテンツの有効化ボタンを押して確認してください」などと書いてあり、あたかもクリックして確認するのが当たり前かのような文面で巧妙にマクロを有効化させようとします。
そのため、セキュリティの教育をあまり受けていない場合などは、マクロを有効化してしまい感染してしまうのです。
前置きが長くなりましたが、今回のマイクロソフトの措置は、こういった感染事例があることも含めて、ボタンをクリックするだけではコンテンツを有効化することを防ぐものです。
ただ、記事にもある通り、この変更は、2022年4月初旬から「最新チャネル(プレビュー)」で展開が開始される「バージョン 2203」から実施されるので、早くとも後2ヶ月程度は従来のままです。
その間に、Emotetに感染したメールが送られてこないとも限りませんので、メールに添付されたZIPファイルや怪しいリンクなどには触れないように十分にご注意ください。