Microsoftは2月7日(米国時間)、Microsoft 365 Blogの記事「Helping users stay safe: Blocking internet macros by default in Office」において、インターネットからダウンロードしたOfficeファイルのVBAマクロをデフォルトでブロックする方針を発表した。対象となるアプリケーションはWord、Excel、PowerPoint、Access、およびVisioの5つで、2022年4月初旬以降からデフォルト設定が変更される予定だという。

近年、OfficeファイルのVBAマクロは、マルウェアを配布するためのサイバー攻撃に悪用されるケースが多かった。攻撃者は悪意のあるVBAマクロを仕込んだOfficeファイルを用意し、メールに添付したり、インターネットからダウンロードさせたりして配布する。ユーザーがこのファイルを開くと、VBAマクロが実行されて、不正にマルウェアのインストールなどが行われる。悪名高いマルウェアの「Emotet」などもこの手法で拡散され、大きな被害をもたらした。

インターネットなどの信頼できない場所から取得したOfficeファイルにはMOTW(Mark of the Web)という属性が付加される。この属性が付けられたOfficeファイルがVBAマクロを含んでいる場合、現在のOfficeアプリのデフォルト設定では警告は表示されるものの、ボタンをワンクリックするだけでVBAマクロを有効にすることができた。

これに対して、今後適用される新しい設定では、メッセージバーに次のような警告が表示されるという。詳細ボタンでは、マクロを悪用する攻撃のリスク、フィッシングやマルウェアを防ぐ方法などの情報が記載されたページに移動するとのこと。

  • 簡単にVBAマクロを有効にできなくなった新しい警告バー(引用:Microsoft 365 Blog)

    簡単にVBAマクロを有効にできなくなった新しい警告バー 引用:Microsoft 365 Blog

Microsoft 365 Blogでは、VBAマクロとMOTWに関する評価フローについても説明されている。

  • VBAマクロとMOTWの評価フロー(引用:Microsoft 365 Blog)

    VBAマクロとMOTWの評価フロー 引用:Microsoft 365 Blog

この仕様変更は、最初にWindows版OfficeのCurrent Channel(プレビュー)に適用され、その後段階的にCurrent ChannelやMonthly Enterprise Channel、Semi-Annual EnterpriseChannelなどの他のチャネルにも適用される。最終的にすべてのMicrosoft 365ユーザーに展開される予定だという。