2021年8月12日

2021年 Black Hat + Def Con 29 - Excel 4.0のマクロに関する新たなリサーチ

先週、ラスベガスで今年最も重要なサイバーセキュリティ関連のカンファレンスが 2 つ開催され、約 2 年ぶりのオフライン サイバーセキュリティ イベントとなりました。20 年以上にわたってサイバーコミュニティで活躍してきた私にとって、仲間と顔を合わせ、コミュニティとしてのつながりを取り戻す機会を得られたことは、とても待ち望んでいたことでもありました。

参加者が少なかったにもかかわらず、イベントのエネルギーと共有されたコンテンツは素晴らしく、私たちは皆、サイバーワールド特有の極めて高い情熱と連帯感を再認識しました。私たちのライブイベントから得られるコラボレーションや情報の共有は、ハッカーや悪質な行為者との継続的な戦いの中で何が可能であるかを示すものであり、常に私たちに活力を与えてくれます。サイバーセキュリティとは、単に「自分の」ネットワークを保護し、「自分の」環境を守り、「自分の」アプリケーションをテストして保護することではありません。より安全で、より強靭なコミュニティを共に創ることなのです。

Deep Instinct は、2015 年の創業以来、このアプローチを大切にしており、Def Con では、Excel 4.0 のマクロを含む新しい進化した脅威ベクトルと、その脅威回避への利用に関する研究結果を発表することができました。Deep Instinct の脅威リサーチ責任者である Tal Leibovich 氏が発表したこの研究は、TechRepublic にも取り上げられました。

Excel 4.0 Macro (XL4) は、1992 年から Microsoft Office. でサポートされているレガシーなスクリプト言語です。後継となるのは、より高度なスクリプト言語である VBA です。しかし、XL4 は後方互換性の理由から依然としてサポートされており、セキュリティ上の脆弱性が長年にわたって残されています。この 1 年半の間に、XL4 の機能を利用したマルウェアが急増しています。これらのキャンペーンは、これまで以上に洗練され、広まってきています。

Deep Instinctの脅威リサーチャーは、これらの  XL4 ベースの脅威が、自動開封、自動閉封、デフォルトのパスワード保護などの機能を利用していることを報告し、さらには、マクロコードをランタイムで解読するなどの高度な難読化技術の知見を共有しました。これらの技術の中には既知のものもありますが、大部分は Deep Instinctの脅威チームによる調査に基づいて新たに発見されたものです。

また、Deep Instinct の予防プラットフォームが、異常検知アルゴリズムを使用して、これらの新しい悪意のある XL4 系統をどのように識別し、防止するかについても紹介しました。このマルウェアファミリーが進化して手法を変えたとしても、Deep instinct は適応してこれらの脅威を阻止し、現在市場に出回っている他のセキュリティソリューションにはない継続的な防止機能を提供します。

XL4 ベースの脅威から Deep Instinct がどのようにしてお客様を守ることができるかをご覧になりたい方は、ぜひこちらからデモをご依頼ください