ハッカーはプログラマに負けず劣らず効率化を好むため、実績ある攻撃方法が再利用されるのは一般的なことです。そのため、2017 年後半のマクロレスマルウェアの急増も、1990 年代後半から Melissa ウイルスなどの古くからある形のマクロマルウェアを調査したことのある人たちにとっては、当然のことだったようです。ウォッチガードのセキュリティ研究者である Marc Laliberte が、Help Net Security に寄稿した記事で、マクロレスマルウェアの仕組みとこれが古くからあるマルウェアの新たなバリエーションである理由を解説しています。

マクロマルウェアは、Microsoft Word マクロを使用して不正 Visual Basic コードを Word 文書に直接埋め込んでいましたが、マクロレスマルウェアは、Microsoft の DDE（Dynamic Data Exchange）と呼ばれるプロトコルを使用して不正コードを実行します。どちらの攻撃でも、同様の確認メッセージが表示されることになり、ユーザがそれをクリックしなければ不正コードは実行されません。Marc の寄稿記事から、これらの確認メッセージに関する説明を抜粋し、以下に紹介します。

Microsoft は Office 2003 からマクロ実行の警告メッセージを変更し、黄色い盾と「セキュリティの警告」という目立つメッセージが表示されるようになりました。ところが、DDE で表示されるのは地味な灰色のボックスの確認メッセージであり、セキュリティに関する記述がないこともあり、「このドキュメントには、他のファイルを参照する可能性のあるリンクが含まれています。このドキュメントをリンクされたファイルのデータで更新しますか？」というメッセージが表示されます。つまり、現在の DDE は 20 年前の Office 97 のマクロとほとんど同じというわけです。新しい攻撃方法であっても、ユーザの介入が必要とされる点は共通しているのです。

マクロレスマルウェアは、情報セキュリティにおいては優れたユーザ教育が極めて重要であり、それに代わるものはないことを我々に再認識させてくれます。Help Net Security の記事全文(英文)でマルウェア再利用の詳細をご確認いただき、パスワードで保護された Office ファイルに関する Secplicity のこちらの記事も参照してください。