Excel 4.0 マクロ：古い機能を悪用した新しい攻撃手法

Excel 4.0 マクロは、XLM 4.0 マクロとしても知られ、1992 年に導入された Microsoft Excel の記録・再生機能です。このプログラムコードは、Excel で繰り返し行われる作業を自動化するためのソリューションですが、残念ながら、マルウェア配信のための秘密のバックドアでもあります。

Excel 4.0 マクロは、VBA (Visual Basic for Application) マクロと同様、マルウェアを潜ませるために悪用されることが増えています。脅威アクターは、XML コードを難読化して疑わしいマクロを隠すことができるため、この 30 年前の機能を武器にして、新しい攻撃手法を生み出すことが容易にできます。

このような攻撃ベクトルが広がっているのは、Excel 4.0 のマクロが、Excel の中核機能の重要な数式コンポーネントであるためです。これらは、さまざまなビジネスプロセスで使用されているため、無効化または非推奨になる可能性は低いと思われます。このため、マルウェアの作者は、初期のマクロ 4.0 のインシデントと同様、マクロコードを介して悪意のあるペイロードを Excel ファイルに忍び込ませ、電子メールの添付ファイルとして配信します。

最初の Excel 4.0 マクロ攻撃

2020 年 2 月中旬にマクロ 4.0 攻撃の第一波が発生して以来 [1]、多くのサイバー犯罪者がこの手法を使っています。これは、数式に悪意のあるコマンドが隠された感染したシートを、Excel の添付ファイルの一部として送信するものです。

攻撃者はソーシャルエンジニアリングの手口を使って、標的がファイルを開くよう誘導します。悪意のあるマクロを有効化するために、「編集を有効にする」ボタンをクリックするよう求めてきます。

最初の攻撃に続いて、脅威アクターはこの回避技術を活用してさらなる攻撃を繰り返し、2020 年 5 月から 7 月にかけて急増しました[2]。

"Very Hidden" マクロ

マクロは、難読化により、Excel ファイルに密かに挿入し、隠すことができます。

例えば、シートが “Very Hidden” に設定されている場合、Excel の UI からこのシートには簡単にアクセスすることができず、外部ツールを使用しなければ表示することができません。Excel シートに隠されたマクロは、Web クエリを介してトリガーされたり、数式実行時にマルウェアをダウンロードすることができます。脅威アクターはこの抜け道を利用して、ファイルのアップロードや電子メールの添付ファイルを介して悪意のあるペイロードを配信し、システムの脆弱性を悪用して新たな攻撃ベクトルを作成します。

この手口は、恐怖につけ込むソーシャルエンジニアリングと組み合わせて、攻撃者がリモートアクセスを取得し、感染したデバイス上でコマンドを実行するために利用されました。2020 年 5 月には、この手法が悪用され、マイクロソフトが COVID-19 フィッシングキャンペーンを警告しました[3]。攻撃者は “WHO COVID-19 SITUATION REPORT” という件名で、ジョン・ホプキンス・センターになりすましたメールを送信しました。

添付された Excel ファイルには、リモートアクセスを可能にする管理ツール NetSupport Manager RAT をダウンロードし、実行する悪意のあるマクロが隠されています。

悪意のあるファイルアップロードから保護

VBAへの移行

Microsoft は、これらのエクスプロイトを認識して、ユーザーに VBA (Visual Basic for Applications) [4]への移行を奨励しました。VBA と組み合わせた AMSI （Antimalware Scan Interface） は、VBA 内のマクロの動作を詳細に精査し、実行時に疑わしいマクロやその他の悪意のある動作をスキャンすることが可能です。

AMSIとMicrosoft Officeの連携

Microsoft は、AMSI と Office 365 の統合を可能にし、Excel 4.0 マクロのランタイムスキャンを組み込むことで、XLM ベースのマルウェアの検知とブロックを支援しています。

Deep CDR でマクロペイロードと すべてのマルウェアを除去

当社の脅威防止テクノロジーは、すべてのファイルに悪意があると考え、ユーザーに届くまでにファイルを無害化し、安全なコンテンツで、再構築し、ユーザビリティを確保します。OPSWAT Deep CDR が Excel ファイルの回避技術 や VBA Stomping maldoc 技術をどのように防止しているか、ご覧ください。

さらに、OPSWAT では、複数の独自技術を統合して、マルウェアに対する保護をさらに強化することが可能です。その一つがマルチスキャンで、ユーザーは 30 種類以上のマルウェア対策エンジン（AI/ML、シグネチャ、ヒューリスティックなどを活用）で同時にスキャンすることで、100% に近い検知率を達成することが可能です（当社調査）。ウイルスの平均検知率が、40% ～ 80% の単一の AV エンジンと比較してください。

OPSWAT Deep CDR, マルチスキャン、その他のテクノロジーや、ゼロデイ攻撃や高度な回避型マルウェア等の脅威から組織を保護するための最適なセキュリティソリューションについては、弊社までお気軽にお問い合わせください。

参考文献

¹ James Haughom, Stefano Ortolani. “Evolution of Excel 4.0 Macro Weaponization.” Lastline. June 2, 2020, https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/.

² Baibhav Singh. “Evolution of Excel 4.0 Macro Weaponization – Part 2.” VMware. October 14, 2020. https://blogs.vmware.com/networkvirtualization/2020/10/evolution-of-excel-4-0-macro-weaponization-continued.html/.

³ Phil Muncaster. “Microsoft Warns of “Massive” #COVID19 RAT.” Infosecurity Magazine. May 21, 2020, https://www.infosecurity-magazine.com/news/microsoft-warns-of-massive-covid19.

⁴ “XLM + AMSI: New runtime defense against Excel 4.0 macro malware”. Microsoft. March 3, 2021. XLM + AMSI: New runtime defense against Excel 4.0 macro malware | Microsoft Security Blog.