Excel XLLアドイン防御機能

オフィスアプリは非常に高機能です。
いろいろな場面で有効な機能が多く実装されています。
そしてそれをさらに便利にするための機構も多数用意されています。

Excelには多くの拡張機能が搭載されています。
自由度の高い機能は実装者の意図次第で便利にもなりますし危険なものにもなります。

Excelなどで利用できるVBAマクロ機能が脅威アクターにとって非常に便利であるものは多くの人が知ることとなりました。
同じように便利なものがまだほかにもあります。
その一つがXLLアドインです。

Excelには組み込みの関数が多数用意されています。
これらを使うことで便利さが増します。
XLLアドインはいろいろな用途に利用することができますが、たとえば自作の関数をExcelの組み込み関数として登録して利用するような用途に利用することができます。
まっとうに利用するととても便利な機能です。

XLLアドインはExcel上から見ると自作の関数となりますが、それが呼び出された後は、XLLアドインとして仕立てられたDLLのなかのロジックが実行されることとなります。
つまり、Excelから呼び出して任意の活動を実施することができるということを意味します。

2021年頃にはすでにこれに目を付けた脅威アクターが活動を開始しており、攻撃の事例が多数観測されています。
2022年もこの傾向は変化せず、XLLを悪用したフィッシングの事例も観測されています。

そんななか、Microsoftの実装計画が発表されました。
インターネットから読み込まれようとするXLLアドインをブロックするという機能を実装するという内容です。
リリース予定は2023年3月です。
これがリリースされればExcelまわりの安全性が増すことでしょう。

しかし、です。
そもそもとしてこういったXLLアドインはメールの添付で配布されたり、ダウンロードリンクで提供されたりします。
そして署名もない状態のバイナリとして配布されます。
これを仮にダウンロードしてしまったとしても、実行すると警告が表示されます。
「潜在的なセキュリティの懸念」とか、「アドインにはウイルスやその他のセキュリティ上の問題が含まれる可能性がある」とか表示されたダイアログが表示されます。
このダイアログを見てもなお実行してしまった人の環境が汚染されているのです。
怪しいダウンロードは入手しない、怪しいファイルは実行しない、ということが意識されていれば、この新しいXLLアドイン防御機構がなくても安全を保つことはできるかもしれません。

どれが怪しくてどれが怪しくないかが難しいものもありますが、こういったことがあるということを知って日々の活動にあたっていきたいと思います。

参考記事（外部リンク）：Excel: Blocking XLL add-ins from the internet.
www.microsoft.com/ja-jp/microsoft-365/roadmap?filters=&searchterms=115485