マクロの代わりになるもの

いろいろなオフィススイートがあります。
そのなかでMicrosoftのオフィススイートのシェアは小さくありません。
Microsoftのオフィススイートが選択される理由はいくつもあるのだと思いますが、そのなかに便利さを増幅させるマクロ機能もあることでしょう。

マクロ機能があれば、文書を開いたときに実施したい一連の処理をまとめて実行できるようにしてみたり、他のシステムとの連携機能を実装したりすることができます。
マクロ機能はとても便利です。
しかしマクロ機能はつらい状況です。

通常のユーザにとって便利なマクロ機能は、脅威アクターにとっても便利な機能です。
ユーザが意図しない内容を実行することに使えます。
侵害行為の最初の段階としてマクロ機能の悪用が選択される場面は多くありました。

この状況が長く続いたため、世の中は変化してきました。

• マクロは危ないという認識
  多くのユーザがマクロが危険であるという認識を持つに至りました。

   

• マクロ機能は標準で無効
  以前はマクロは普通に利用することができる機能だったのですが、現在は標準で無効状態となっています。
  有効にしないと利用することはできません。

このような状況の中、新しい傾向が出てきています。

• コンテナファイル方式の増加
  iso形式のファイルでマルウェアを配布する例が増えてきています。
  isoに限ったものではなくファイルをまとめることのできる方式（コンテナファイル形式）での攻撃例が増えてきています。

   

• LNKファイル悪用の増加
  マクロ機能で実現していた意図しない処理の実行は、LNKファイルを利用する方式に移ってきています。
  LNKファイルをPowerShellと組み合わせるなどすると、一見本来の目的とするファイルの利用が開始されただけに見えるその後ろ側でこっそり意図しない処理を実行することができます。

脅威アクターは届け方とロジックの実行の仕方を変化させてきているという感じです。
脅威アクターがマクロに依存する割合が低下しています。

脅威アクターは環境変化への対策を開始しています。
私たち防御側も変化する必要がありそうです。

参考記事（外部リンク）：How Threat Actors Are Adapting to a Post-Macro World
www.proofpoint.com/us/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world