「犯罪者のExcel離れ」が止まらない――その“なるほどの理由”

　攻撃者は、PCにマルウェアを忍び込ませる手段として、Microsoftの表計算ツール「Microsoft Excel」を利用することを避け始めた。セキュリティベンダーHornetsecurityによると、攻撃者がメール攻撃で悪用するファイル形式のうち、Excelファイルの割合が減少傾向にある。

　攻撃者の間で、なぜ“Excel離れ”が広がっているのか。それはMicrosoftの下した、ある重要な決定が大きく影響しているとHornetsecurityは考察する。

「Excel離れ」はなぜ止まらないのか

　Microsoftは、Excelの標準設定を変更。Excelファイルの開封時に、標準ではマクロを実行しないことにした。PCを乗っ取るためにExcelマクロを悪用することは、攻撃者の常とう手段だった。

　2022年に、MicrosoftはExcelの標準設定で「Microsoft Excel Version 4.0」（以下、Excel 4.0）向けマクロ（XLMマクロ）の実行を無効化した。マクロ用プログラミング言語「Visual Basic for Applications」（VBA）で開発されたマクロ（VBAマクロ）の実行についても、標準での無効化を進めている。こうしたMicrosoftの措置により、攻撃者が戦術を変更したとHornetsecurityはみる。

　Hornetsecurityが観測した月間のメール攻撃数のうち、Excelファイルを悪用していた攻撃の割合は、2022年6月には14.4％だった。同年7月には5.1％へと10ポイント近く減少した。同社が月次メール脅威レポート「Email Threat Review」の2022年７月版（2022年８月公開）で明らかにした。

　攻撃者がExcelマクロを悪用して配布する主要なマルウェアとして、Hornetsecurityは「Qakbot」を挙げる。Qakbotは、オンラインバンキングのログインに必要な認証情報を窃取するためのマルウェアとして知られてきた。

　Hornetsecurityによると、Qakbotによる攻撃は「HTMLスマグリング」「DLLサイドローディング」を利用した、より複雑な感染経路をたどる攻撃に切り替わっている。HTMLスマグリングは、正常なHTMLファイルの中に悪意のあるプログラムを隠す手口。DLLサイドローディングは、正規ファイルを偽装して悪意のあるDLLファイルをOSに読み込ませる手口だ。

※Qakbotを使った攻撃の具体的なプロセスは、どのようなものなのか。Excelを悪用した攻撃の今後は。後編「『犯罪者のExcel離れ』で狙われ始めた“あのファイル”」は、こうした疑問に答える。