【注意喚起】インターネットから入手したマクロの警告が変わります
マクロとは別名VBA(Visual Basic for Applications)と呼ばれ、Microsoft Officeアプリの開発用ツールです。
マクロを利用することでドキュメントの作成や表計算などのドキュメント操作を自動化、高速化することができます。
そんなマクロですが、残念ながらサイバー攻撃の踏み台として利用されることが少なくありません。
利用者の意図しない動作を組み込んだExcelファイルをインターネットやメール経由で開かせ、PCをマルウェアに感染させるという攻撃に悪用されることが多いです。
2022年2月現在、国内でも流行中のEmotetも感染方法にマクロを悪用することがあります。
Microsoft社もこの状況は把握しており、この度Microsoft Tech CommunityやMicrosoft Docsにてマクロの警告動作を変更してセキュリティを向上する取り組みの情報が公開されました。
https://docs.microsoft.com/en-us/DeployOffice/security/internet-macros-blocked
今回の記事では社内SEや情シスの立場から対応についてまとめました。
変更の内容と展開スケジュール
これまで、インターネットやメール添付ファイルから開いたマクロ付きドキュメント(WordやExcelなど)は下記画像のように警告画面が表示され、自動でマクロが有効にならないようになっています。
このメッセージを受け取ったユーザーは”編集を有効にする”をクリックすることでマクロを有効にすることができますが、実情として警告内容は読まれることなく何の疑いもなく無条件で有効にしてしまうユーザーが少なくありません。
この状況を踏まえ、変更後は”編集を有効にする”が表示されなくなり、代わりにセキュリティリスクの警告が表示されます。
黄色から赤色になり危険っぽさが濃くなりますが、重要なのは”この通知からはマクロを有効にすることができなくなる”ことです。
このことから、後述する条件に合致するマクロ付きOfficeファイルは通知バーからマクロを実行することができなくなります。
もし業務でExcelに限らずマクロを利用している場合は適切に対応しなければ、何も知らないユーザーからクレームの連絡が入ったり業務が一時停止する可能性があります。
展開スケジュールですが、現時点でアナウンスされているのはMicrosoft 365やOffice 365といったサブスクリプションサービス、および永続版ながら追加機能が付加されているOffice Premium系になります。
Office 2013, 2016, 2019, LTSCといった追加機能が付加されない永続版ライセンスは現時点で公表されていません。
2022年2月現在では下記のようになっています。
Preview設定になっている情シスであれば2022年4月ごろに先行して動作確認ができます。
一般ユーザーへの展開はCurrent Channelであれば2022年6月以降に順次展開となります。先述の買い切りライセンスは現時点で決まっていません。
ブロック通知が表示される条件
Microsoft Docsにはいろいろ書いてありますが要約すると、このまま何もしなければ現在でも下記画像の表示が出ているドキュメントが対象になります。
逆に言うと、現在はこの表示が出ていないマクロ付きドキュメントには影響がありません(これを信頼済みドキュメントといいます)。
いくつかシナリオを想定して場合分けしてみましょう。
メールの添付ファイル
メールに添付されているマクロ付きドキュメントは対象です。通知バーからはマクロを有効にすることができなくなります。
同じ社内ドメイン間のメールアドレスであっても、メール添付で送られている時点で対象となるため、業務で利用するマクロ付きドキュメントをメールでやりとりしている場合は対応が必要です。
インターネットからダウンロードしたファイル
当然ですがインターネットから入手したドキュメントも対象です。
よくあるのが、客先から信頼できるファイル交換ソフト経由で受け取ったマクロファイルであっても対象です。
デスクトップやドキュメントに保存しているファイル
これは対象外になります。ただし、先述のメール添付やインターネットから入手してデスクトップやドキュメントに保存したファイルは対象です。
あくまで自分のPCで作成して自分のPCに保存したファイルと考えてください。
過去に信頼済みにしたファイル
これは対象外になります。現時点でマクロの警告が表示されていないと思いますが、この場合は対象になりません。
たとえ入手元がインターネットやメールの添付ファイルだとしても、一度信頼済みにしてしまえば警告が表示されることはありません。
信頼済みの場所に保存したファイル
Officeソフトには信頼済みの場所を登録することができます。
設定は ファイル⇒オプション⇒セキュリティセンター⇒セキュリティセンターの設定⇒信頼できる場所 と進むとたどり着きます。
ここに登録されている場所に保存されているマクロ付ファイルであれば自動的にマクロが有効になります。
注意点としてはここに保存しさえすればメールの添付であってもインターネットから入手していてもマクロが自動で実行されるため、不正なマクロは絶対に保存してはいけません。
ブロック通知が表示された場合の対応(ユーザー目線)
何も知らないユーザーであればびっくりして情シスに連絡してくるでしょうが、実は”Learn More”をクリックするとMicrosoftの下記URLへ誘導されます。
そしてこのリンク先にはばっちりマクロを実行する方法が書いてあるので、例え警告が表示されたマクロであってもユーザーは実行することができます。
管理者権限を持たない標準ユーザーであってもブロックの解除は実行できますので、実は警告が表示されたマクロを一切実行できなくなるという話ではありません。
また、リンク先にはご丁寧に”このマクロは本当に実行してもいいマクロかどうかきちんと確認しろ!”という旨の記述がありますが、マクロが実行できなくてフリーズしたユーザーの頭には入ってこないでしょうから期待はあまりできません。
ブロック通知が表示された場合の対応(情シス目線)
ユーザーが困っているからと慌ててマクロを実行する方法を伝えてはいけません。
何よりもまずは、ユーザーが実行しようとしているマクロが適正なマクロかどうかを必ず確認してください。
連絡をしてきたユーザー本人は不正なマクロだと気付かずに情シスへ連絡してきている可能性があります。
適正なマクロであることが確認取れれば実行のやり方を伝えましょう。
情シスで必要な対応
何よりもまずは現状把握です。各部署に”マクロを使っているかどうか”と”そのマクロつきファイルをメールで送受信したりインターネットから入手しているか”を確認しましょう。
特に後者の確認が最重要です。後者の存在が無ければ情シス主導で何かをする必要はありません。
既に述べたように、今現在使えているマクロ(信頼済みとして登録したマクロ)はこれからもそのまま使うことができます。
しかし後者の存在がある場合、いずれはこれまでの方法では実行することができなくなりますので手を打ちましょう。
マクロ実行方法を先に案内する
これはマクロのブロック解除方法を事前に周知する方法です。
ユーザーのセキュリティリテラシーにある程度期待でき、不正なマクロが実行されても阻止しうる多層防御態勢があれば大丈夫でしょう。
基本的にユーザーの判断に任せるので情シス部門の負担は低めです(多少の問い合わせは来るかもしれませんが・・・)。
グループポリシーで信頼済みの場所を登録する
信頼済みの場所はグループポリシーを使うことで集中管理することができます。
運用として、インターネットやメールの添付から入手したマクロを実行するには信頼済みの場所として登録した特定のフォルダを利用させるというものです。
特定のフォルダもどこでもよいというものではなく、セキュリティの監視がある程度強化された共有フォルダが望ましいでしょう。
メールやインターネットから入手したマクロの実行を禁止する
そもそもメールやインターネットから入手したマクロの実行を止めてしまうという方法です。
少し強引な方法ではありますが、外部から入手したマクロを実行しなくとも業務が回るのであればそれに越したことはありません。
少しだけ業務の棚卸をしないといけないので手間はかかりますが、外部から入手したマクロの実行を止められることはセキュリティの向上として大きな意義があるでしょう。
マクロを実行できるユーザーを限定する
こちらは考え方として、”すべての社員がマクロの実行を必要とはしていない”可能性を検討しています。
もし、マクロの実行をするユーザーが限定的なのであれば、それ以外のユーザーにはマクロの実行を禁止するグループポリシーを適用します。
システム的にマクロの実行がストップされるのでセキュリティの向上として同じく大きな意義があります。
特別にマクロの実行が許可されるユーザーには集中的にセキュリティ教育を施したり、外部から入手したマクロを使わないのであれば実行方法を案内する必要もないでしょう。
まとめ
- 手放しのままだと問い合わせやトラブルが殺到する可能性あり
- ある程度グループポリシーで制御することができる
- とにかく現状把握だけはしよう!