Excel 4.0 Macro(XLM)マルウェアは Microsoft Office の Excel ドキュメントファイルを利用した攻撃手法であり、VBA(Visual Basic Application)を引き継ぎ、新たなドキュメントマルウェアのフローとして位置づけられた。Excel 4.0 マクロのマルウェアは、Excel プログラムの「マクロシート」機能を利用する。シートを構成する各セルが実行可能な関数のフローになっていることが特徴である。

Excel 4.0 マクロのマルウェアは最近、Office ドキュメントを利用したマルウェアの配布方式において最も頻繁に利用されている。マクロコードが保存されるファイルバイナリの特徴やコードの難読化等を理由に、アンチウイルス製品による検知が VBA 方式に比べてかなり難しいという点を、マルウェアの製作者は突いているのである。このため、Microsoft は2021年に以下のようなセキュリティ強化方案を発表した。これは、不正なファイルを検知して実行段階で遮断するのではなく、Microsoft が提供する根本的な実行防止対策になり得るという点に意味がある。
XLM + AMSI: New runtime defense against Excel 4.0 macro malware
“We have recently expanded the integration of Antimalware Scan Interface (AMSI) with Office 365 to include the runtime scanning of Excel 4.0 (XLM) macros, to help antivirus solutions tackle the increase in attacks that use malicious XLM macros.”
2021年3月3日、Microsoft セキュリティ公式ブログ[1]
“Runtime inspection of XLM macros is now available in Microsoft Excel and can be used by antivirus solutions like Microsoft Defender Antivirus that are registered as an AMSI provider on the device.”

Microsoftは、Antimalware Scan Interface(AMSI)機能を拡張し、Office 365 製品で Excel 4.0 マクロの実行をスキャンできるようにすると発表した。これによって AhnLab V3 を含む AMSI を活用するアンチウイルス製品等において Excel 4.0 マクロのマルウェア実行を検知することができる。以下は、実際の Excel 4.0 マクロのマルウェア実行を V3 製品でスキャンした結果である。この画面のように難読化されているマクロコードが実行されたとしても、Windows API を利用してファイルをダウンロードする振る舞いがそのまま記録される。


Restrict usage of Excel 4.0 (XLM) macros with new macro settings control
“A new Excel Trust Center settings option to further restrict the usage of Excel 4.0 (XLM) macros is now generally available.”
2021年7月22日、Microsoft Excel 公式ブログ[2]
“Found in the Trust Center Macro Settings, this new checkbox setting, “Enable Excel 4.0 macros when VBA macros are enabled”, allows users to individually configure the behavior of XLM macros without impacting VBA macros.”

これは Microsoft Office 365 Excel 製品 (Version 2104 以降)に新しく追加された機能である。以下の設定位置に新しいユーザー選択オプションが追加されたが、チェックボックスを解除するとマクロ設定を有効にしても VBA マクロのみ実行され、Excel 4.0 マクロは実行されない。現在ほとんどのユーザーがマクロの作成および実行時に VBA を利用しており、Excel 4.0 マクロは主にマルウェアで使われているという点を考慮すると、チェックボックスを「解除」しておくことを推奨する。会社や組織規模で Office 365 製品を利用するユーザーの場合、管理者ポリシーでもこの設定を一括指定できる。
- ファイル > オプション > トラスト センター > トラスト センターの設定 > マクロの設定 > VBA マクロが有効な場合に Excel 4.0 のマクロを有効にする
参考に、この設定は2021年末までに Office 365 Excel 製品のユーザーはデフォルトで無効となった。[3] 自分のシステム環境を確認し、「VBA マクロが有効な場合に Excel 4.0 のマクロを有効にする」オプションが無効になっているかどうかを確認しておく必要がある。

[1] https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defense-against-excel-4-0-macro-malware
[2] https://techcommunity.microsoft.com/t5/excel-blog/restrict-usage-of-excel-4-0-xlm-macros-with-new-macro-settings/ba-p/2528450
[3] https://twitter.com/GelosSnake/status/1446192775087722497/photo/1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:対応ガイド