デジタルアーツは3月24日、マクロ付きOfficeファイルに関するセキュリティレポートを発表した。
同レポートでは昨年11月に活動を再開しているEmotetの攻撃メールを同社で分析し、使用されるファイルのパターンを抽出し、紹介している。それによれば、2022年3月時点でEmotetの攻撃メールに使われる添付ファイルは「xlsm」ファイルが添付されているパターンと、「xlsm」を格納した「パスワードZIPファイル」が添付されているパターンの2種類のみとのこと。
従来のEmotetは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていたが、2022年3月時点では「Excel4.0マクロ」しか用いられていないという。
Microsoftでは、近年マクロへのセキュリティ対応も行われている。「VBAマクロ」では、「インターネットから取得したOfficeファイルのVBAマクロをデフォルトで無効化」する措置を2022年4月以後に適用予定。また、ワンクリックで「VBAマクロ」を有効化できるという状況も改善される見通し。
「Excel4.0マクロ」については、「VBAマクロ」が有効であっても「Excel4.0マクロ」だけを無効にできるという。もっとも、これは2021年末までにMicrosoft 365ではデフォルトで無効となっている。
同レポートでは、感染防止のためWebプロキシによるマルウェアの防止、他にもマクロ付きのOfficeファイルの業務利用が統計的に少ないことから、あらかじめ受信しないように設定することも検討するよう提言している。
