Cofenseのセキュリティ研究者は7月10日(米国時間)にBetaNewsに投稿した記事「 Understanding the threats lurking in Microsoft Office documents」において、Microsoft Officeに潜む脅威をその攻撃手法と共に伝えた。Microsoft Officeはドキュメントツールとしてスタンダードの地位を獲得しているが、その広い影響力がサイバー犯罪者の魅力的な標的になっているとして注意を呼びかけている。

Understanding the threats lurking in Microsoft Office documents

○Microsoft Officeの潜在的な脅威

Microsoft Officeはその高い利便性から多くのユーザーに広く活用されている。その便利な機能の一つにVBAマクロが存在する。記事によるとVBAマクロは複雑な処理を実行できるため、マルウェアの配布に悪用されることがあるという。しかしながら、2022年のセキュリティ更新プログラムにより自動実行がブロックされて以降、悪用はやや減少傾向にあるとされる(参考:「インターネットからのマクロは、Office で既定でブロックされます - Deploy Office | Microsoft Learn」)。

Microsoft Officeは便利な機能の他にも、高い知名度や信頼性を悪用されることがある。単純なものとしては、悪意のあるリンクの埋め込みやQRコードの埋め込みなどがある。リンクの配布だけであればメールに記載すればよいが、ユーザーの疑念を緩和してアクセスさせるためにOfficeドキュメントが利用される。

QRコードはセキュリティソリューションの検出を回避する目的でも利用される。Cofenseの調査によると、2023年にはQRコードに関するアクティブな脅威報告が331%増加したという。

○脆弱性の悪用

古いMicrosoft Officeには、マルウェア配布に悪用できる脆弱性が存在する。記事ではその例として、次の2つの脆弱性を取り上げている。

CVE-2017-11882 - メモリー破壊の脆弱性。悪用されると攻撃者によりユーザーコンテキスト内で任意のコードを実行される可能性がある

CVE-2017-0199 - ファイル解析にリモートコード実行(RCE: Remote Code Execution)の脆弱性

いずれの脆弱性もMicrosoft Office 2016以前の製品に存在するため、最新のMicrosoft Officeは影響を受けない。しかしながら、Microsoft Officeはさまざまな事情から古いバージョンを継続使用することがある。攻撃者はそのような企業や組織の従業員を標的に、これら脆弱性を悪用する。

○対策

記事ではMicrosoft Officeを悪用するサイバー攻撃を回避するために、従業員への包括的なトレーニングの実施を推奨している。Officeドキュメントを通じたサイバー攻撃では、フィッシングメールを初期の攻撃手法として使用することが多い。そのため、従業員全員にフィッシング攻撃回避の知識を身に付けさせることが、企業のセキュリティ対策に必要不可欠とされる。

他にも基本的な対策として、ソフトウェアを最新バージョンにアップグレードすることが推奨される。Microsoft Officeのアップグレードは買い替え、またはサブスクリプションの加入となるため多額の費用を必要とするが、ランサムウェアの被害を考慮するとアップグレードが最良の選択肢と捉えることができる。