EXCEL 4.0

Microsoft、最も悪用されるExcel4.0マクロを無効に

マイクロソフトが、今週顧客にメール通知した内容によると、2021年末までにすべてのMicrosoft 365利用者へExcel 4.0のマクロ、またXLMマクロ、として知られている古いマクロ機能を無効にする計画を告知しました。

1992年にExcel4.0として提供が開始された XLMマクロを使用すると、利用者はExcelセル内に複雑な数式を入力して、Excelまたは端末内で様々なコマンドを実行できます。これを自動化による業務効率化のための仕組みとして利用していた法人顧客は多いことでしょう。

XLMマクロはVBAベースのマクロを導入したExcel5.0のリリースに置き換えられましたが、今日に至るまで本機能の提供は継続されており、最新版のExcelでも提供されています。

Excel 4.0マクロは、過去2年間で広く悪用されてきた

基本的なスクリプトのような操作を可能にするOfficeツールの多くがそうであるように、この機能は過去数十年にわたり、身代金目的のウイルスや国家ぐるみの諜報活動に悪用されてきました。

2020年初頭に、複数のセキュリティ研究者が、XLMマクロによる多数の攻撃が突如として始まりました。かつてこれほどの規模で悪用が行われたことはありませんでした。

VMWare社、ReversingLabs社、Lastline社、MadLabs社、Expel社、DeepInstinct社をはじめとする多くの研究者が、XLMマクロを悪用する多数のマルウェアの存在が急増していることを報告していますが、これらのマルウェアは、サイバースパイからバンキングトロイの木馬、ランサムウェアから暗号通貨の窃盗まで、幅広い用途に使用されています。

マイクロソフト社もこの問題を認識しており、”悪意のあるXLMマクロを使用する攻撃の増加にウイルス対策ソリューションが取り組むのを支援するため “として、2021年3月の更新にてMicrosoft 365にAntimalware Scan Interface(AMSI)にXLMマクロのサポートを追加しました。

しかし、2021年夏、複数のセキュリティ研究者が、ユーザーが攻撃にさらされている状態を放置しているとしてマイクロソフトを公に批判し、OS提供企業の責任としてさらなる要求、すなわちOfficeアプリケーション内で標準でXLMマクロを無効にすることを求めました。

Officeアプリケーション内の機能を標準で無効にすることにより、悪意のあるXLMマクロが埋め込まれたExcelファイルを受け取った場合でも、ユーザーを保護することになります。またXLMマクロを利用している企業は、必要な際に都度XLMマクロを再び有効にすることが今までどおり機能を利用できると主張しました。

Microsoft 365利用者は年内にデフォルトで無効化へ

マイクロソフト社は、すべてのMicrosoft Office利用者に対してXLMマクロを無効にするわけではありませんが、「Microsoft 365」サービスを契約している、顧客に対しては、標準ででこの機能を無効にする措置を行う計画です。

Microsoft 365のお客様に送られたメールでは、この機能を3段階に分けて無効化する計画が示されています。

  • Insiders Channel: 2021年10月下旬に展開され、11月上旬に完了。
  • Current Channel: 2021年11月上旬に展開され、11月中旬に完了。
  • Monthly Enterprise Channel (MEC): 2021年12月中旬にロールアウトを開始して完了。

永続版Officeでは、無効化がなされないため、利用者自身で設定を「無効」にする必要があります。

もちろん、PC Maticでは、2015年からXLMマクロを標準でロックし利用不能としています。