1999年を覚えていますか?
さて、メリッサウイルスはちょうど呼ばれました、そしてそれは2022年に厳しい生活を見つけています。
Officeマクロウイルスが今日のような試練や苦難に直面しなかった、最後の千年紀の自由奔放な時代への復帰を要求しています。
1990年代には、VBAを挿入できました(Visual Basic for Applications) マクロコードをドキュメントに自由に挿入したり、電子メールで送信したり、どこかのWebサイトからダウンロードするように依頼したりできます…
…そして、あなたは彼らのコンピュータを完全に引き継ぐことができます!
実際、それはそれよりもさらに良かった/悪かった.
次のような一般的なメニュー項目のXNUMXつを反映した名前でマクロサブルーチンを作成した場合 FileSave or FilePrint、ユーザーがそのオプションをアクティブにするたびに、コードが魔法のように目に見えないように呼び出されます。
さらに悪いことに、あなたが あなたのマクロを与えた のような名前 AutoOpen、その後、ユーザーがドキュメントを見たいだけの場合でも、ドキュメントが開かれるたびに実行されます。
また、マクロを中央リポジトリと呼ばれる中央リポジトリにインストールした場合 グローバルテンプレート、マクロは常に自動的に適用されます。
最悪の場合、おそらく、感染したドキュメントがマクロを埋め込む可能性があります に グローバルテンプレート、つまりコンピュータに感染し、同じマクロ(グローバルテンプレートから実行されていることを検出したが、開いたばかりのドキュメントは感染していない)が自分自身をコピーする可能性があります バックアウト 再び。
それは、急速に広がり、長期にわたるマクロウイルスの発生の定期的な「完璧な嵐」につながりました。
マクロウイルスは狂ったように広がる
簡単に言うと、感染したドキュメントをXNUMXつコンピューターで開くと、その後に開いたり作成したりしたすべてのドキュメントも、感染したOfficeファイルがどこにでもあるまで、感染する可能性があります。
ご想像のとおり、ゲームのその時点で、同僚、顧客、探鉱者、投資家、サプライヤー、友人、敵、ジャーナリスト、一般のランダムなメンバーに送信または共有したファイルはすべて…
…ウイルスの完全に機能するコピーが含まれ、ウイルスがまだ感染していないと仮定して、ウイルスを開いたときに感染するために最善を尽くす準備ができています。
そして、それだけでは不十分な場合、Officeマクロマルウェアは、あなたが他の誰かにコピーを送信するのを待つのではなく、あなたの電子メールアドレスブックを読んで、いくつか、多く、またはすべての名前に自分自身を送信することによって、意図的に自分自身を配布する可能性がありますそこで。
次のような電子メールグループである名簿エントリがある場合 Everyoneまたは All Friendsまたは All Global Groupsその後、ウイルスがグループに電子メールを送信するたびに、数百または数千の感染メッセージがインターネットを介してすべての同僚に送信されます。 彼らの多くは、ウイルスが彼らのコンピュータを手に入れるとすぐにあなたにメールを送り返し、真の電子メールストームが発生するでしょう。
感染したWordファイルによって拡散した最初のマクロマルウェアは1995年後半に出現し、吹き替えられました 概念なぜなら、当時は概念実証にすぎなかったからです。
しかし、悪意のあるマクロが単なる頭痛の種以上のものになることはすぐに明らかになりました。
マイクロソフトはサイバーセキュリティパーティーに参加するのに時間がかかり、次のような用語を慎重に避けました。 ウイルス, ワーム, トロイの木馬 および マルウェア、コンセプトウイルスを「いたずらマクロ」に過ぎないと断固として言及します。
段階的な封鎖
ただし、Microsoftは何年にもわたって、Officeに一連の機能変更をさまざまな方法で徐々に実装してきました。
- ファイルが純粋なドキュメントであるかどうかを簡単かつ迅速に検出できるようにし、 したがって、純粋なドキュメントファイルとマクロコードを含むテンプレートファイルをすばやく区別できます。 マクロウイルスの初期の頃、コンピュータが今日よりもはるかに低速であったとき、マルウェアのスキャンが必要かどうかを判断するためだけに、すべてのドキュメントファイルでマルウェアのようなかなりの時間のかかるスキャンが必要でした。
- テンプレートマクロが感染していないファイルに自分自身をコピーするのを難しくします。 残念ながら、これは自己拡散型マクロウイルスを駆除するのに役立ちましたが、一般的にマクロマルウェアを防ぐことはできませんでした。 犯罪者は、自己複製に頼ることなく、事前に独自のブービートラップファイルを作成し、それらを各潜在的な被害者に個別に送信することができます。
- 「危険なコンテンツ」の警告をポップアップして、マクロを誤って簡単に実行できないようにします。 この機能は便利ですが、マクロは許可することを選択するまで実行されないため、詐欺師はマクロを無効にする方法を学びました。 彼らは通常、どのボタンを押すかをわかりやすく「説明」するコンテンツをドキュメントに追加し、多くの場合、それを指す便利なグラフィック矢印を提供し、関連するセキュリティリスクを偽装する信頼できる理由を示します。
- 会社のネットワークでより厳密なマクロ制御を行うためのグループポリシー設定を追加します。 たとえば、管理者は、ネットワークの外部から来た Office ファイル内のマクロを完全にブロックできます。これにより、ユーザーは、必要に応じて、電子メールで受信したファイルや Web からダウンロードしたファイルでマクロの実行を許可するクリックをすることができなくなります。
ついに、2022年XNUMX月に、 マイクロソフト、発表、サイバーセキュリティコミュニティからの集団的救済のため息をつくために、すべての人に対して、デフォルトで「インターネットから到着したドキュメントのマクロを禁止する」を常にオンにすることを計画していたこと。
グループポリシーの介入を必要としていたセキュリティオプションが、最終的にデフォルト設定として採用されました。
言い換えれば、ビジネスとして、公式文書の内部処理を自動化するためにVBAの機能を自由に使用できますが、(許可するために邪魔にならない限り)潜在的に未知の信頼できないものにさらされることはありません。承認された内部ソースからのものではない不要なマクロ。
当時報告した通り。 Microsoftはこのように変更を説明しました:
インターネットから取得したVBAマクロは、デフォルトでブロックされるようになりました。
インターネットから取得したファイル内のマクロの場合、ユーザーはボタンをクリックするだけでコンテンツを有効にすることができなくなります。 詳細を確認するためのボタンでユーザーに通知するメッセージバーが表示されます。 デフォルトはより安全であり、管理された組織のホームユーザーやインフォメーションワーカーを含むより多くのユーザーを安全に保つことが期待されます。
私たちは熱狂的でしたが、変化はあると思いました やや中途半端、次の点に注意してください。
この変更が行われることを嬉しく思いますが、それでもOfficeユーザーにとっては小さなセキュリティ手順にすぎません。理由は次のとおりです。 VBAは引き続き完全にサポートされます、それでも、電子メールまたはブラウザからドキュメントを保存して、ローカルで開くことができます。 変更が古いバージョンのOfficeに数か月、またはおそらく数年は届きません、[その場合]Office2021以前の変更日はまだ発表されていません。 モバイルおよびMacユーザーはこの変更を取得しません、および すべてのOfficeコンポーネントが含まれているわけではありません。 どうやら、Access、Excel、PowerPoint、Visio、Wordのみがこの新しい設定を取得します。
さて、私たちの熱意が抑えられただけでなく、それが短命だったことがわかりました。
先週、Microsoft 変更なし, ブロックのブロックを解除、次のように述べています。
ユーザーからのフィードバックに続いて、使いやすさを向上させるためにいくつかの追加の変更を行う間、この変更を一時的にロールバックしました。 これは一時的な変更であり、すべてのユーザーに対してデフォルトの変更を行うことに全力で取り組んでいます。
デフォルト設定に関係なく、顧客は記事で説明されているグループポリシー設定を介してインターネットマクロをブロックできます。 インターネットからのOfficeファイルでマクロが実行されないようにブロックする.
今後数週間でタイムラインの詳細を提供します。
何をするか?
要するに、十分に多くの企業が潜在的に危険なソースからマクロを受け取って使用することに依存しているだけでなく、企業のワークフローを適応させることによってその状況を変えることをまだ望んでいないようです。
- この変更に満足している場合、および外部からのマクロのブロックを続行する場合は、グループポリシーを使用して、製品のデフォルトに関係なく設定を有効にします。
- あなたがそれに満足していなかったら、 この休憩を使用して、ビジネスワークフローを変更して、署名されていないマクロをユーザーに転送し続ける必要性を減らす方法を考えてみませんか?
皮肉なことに、冷笑主義者が「少なすぎる、遅すぎる」と表現したかもしれないサイバーセキュリティの変更が、実際には「多すぎる、早すぎる」と判明したのは皮肉なことです。
将来、この種のささやかなサイバーセキュリティの変更に集合的に対応できるようにしましょう…
