ReversingLabsは4月28日(米国時間)、「Spotting malicious Excel4 macros」において、最近Microsoft Excel 4マクロ(XLM)を悪用したサイバー攻撃が急増していると伝えた。Excel 4マクロは1992年に導入されたレガシーなスクリプト言語で、翌年に登場することになるより高度なVBAスクリプトの前身に当たるもの。古いスクリプト言語だが、Microsoftは後方互換性の問題からこのマクロのサポートを継続しており、そしてセキュリティの問題も引き起こしていると指摘している。
ReversingLabsによると、この古いマクロはサイバー犯罪者によって興味深い利用法があるという。それは、このマクロがオペレーティングシステムとの対話など、より強力な機能にアクセスするための方法を提供しているからだ。そして、多くのセキュリティ・ソフトウェアがこうした古い技術を駆使したサイバー脅威を検出することに問題を抱えていると説明している。さらに、多くの企業はこうしたマクロを使ったMicrosoft Excelに依存した業務プロセスが残っており、このマクロを完全にブロックするといった対策も取ることができないそうだ。
ReversingLabsは、2020年11月以降に同社のプロダクトに現れたMicrosoft Excelドキュメントを分析したところ、16万件ほどのMicrosoft Excel文書にExcel 4マクロが使われていることが明らかになったと説明している。さらに、この16万件のうち、90%以上が悪意あるもの、または、疑わしいものと判断されたという。この割合は驚くべきものであり、Excel 4マクロが含まれたMicrosoft Excelファイルはそのほぼすべてが悪意あるものであることを意味していると指摘している。使われているマルウェアとしてはZLoader、Quakbot、Abracadabraが多かったとのこと。
また、時系列的に増加のタイミングを調べると、まず2020年11月27日ごろにピークに達しており、昨年のブラックフライデーと重なっている。次は2021年1月に入ってから増加しており、ブラックフライデーやバレンタインデーなどに合わせてサイバー攻撃が増加した点が指摘されている。興味深い動向としては、クリスマスや新年の時期にはほとんど活動がなかったとしており、サイバー犯罪者も休暇を取っていた可能性があることを示唆している。
ReversingLabsは、Excel 4マクロを悪用したサイバー攻撃には注意が必要と説明している。セキュリティ・ソフトウェアの多くがExcel 4マクロを使ったMicrosoft Excelの検出に問題を抱えており、検出をすり抜けることができるとされている。また、下位互換性が重要であるということは承知した上で、セキュリティの観点からは、こうした技術はある時点で非推奨とすることが最善ではないかと指摘されている。
