3月22日(現地時間)、Microsoftは現在マクロベースのマルウェアが増加傾向にあるが、Office 2016のグループポリシー設定により、多くの脅威を未然に防ぐことができると、公式ブログでアピールした。設定に必要なOffice 2016用管理者テンプレートはリンク先からダウンロード可能。テンプレートファイルをドメインコントローラーに配置し、グループポリシーエディターで設定を行う。

2016年12月から2016年3月までのマクロ系マルウェア検知数(公式ブログより抜粋)

Office 365とは異なり、クラウドベースのメールフィルタリングサービスの「Exchange Online ATP(Advanced Threat Protection)サービス」がないOffice 2016は、メールに添付するマクロ系マルウェアの脅威にさらされる機会が多い。そこでMicrosoftはWordやExcel、PowerPointなど各ドキュメントに含まれたマクロをブロックする設定を行うことを推奨している。

マクロ系マルウェアの侵入経路として、もっとも多いのがメール経由の感染だ(公式ブログより抜粋)

企業内で展開したOffice 2016のグループポリシーテンプレートで設定する。例えばWord 2016の場合は、「User Configuration\Administrative Templets\Microsoft Word 2016\Word Options\Security\Trust Center」に並ぶ「Block macros from running in Office files from the Internet」の設定を変更

一般的にインターネット経由で入手したドキュメントは、保護ビュー(Protection View)という一種のサンドボックス上で閲覧し、編集やマクロの実行を抑制する仕組みだ。

インターネット経由で入手したファイルを編集する場合、保護ビューが有効になる

だが、前述のグループポリシー設定を施した環境では、編集を有効にした場合もさらに強いメッセージと共に、文書ファイル内に埋め込まれたマクロの実行を抑制。本機能は保護ビューと同じく、ファイルのセキュリティゾーンに依存する。

グループポリシー設定を行った場合、<Enable Editing(コンテンツの有効化>ボタンを押してもマクロの実行を抑制する

Microsoftはエンドユーザーに対してマクロを有効にせず、必要な場合は信頼した相手以外の文章ファイルには注意することを推奨し、企業の管理者に対しては新たなマクロブロック機能を使って、組織全体をマルウェアから保護することを推奨している。

阿久津良和(Cactus)