「VSTO」がVBAマクロに代わる新たな攻撃ベクトルとして注目されるワケ

Microsoft OfficeのVBAマクロという攻撃手段を失ったサイバー攻撃者にとってVisual Studio Tools for Office（VSTO）が新しい攻撃ベクトルになる可能性が出てきた。この技術を悪用したベクトルはまだほとんどのセキュリティベンダーが検出できていない。

[後藤大地，有限会社オングス]

　Deep Instinctは2023年2月2日（現地時間）、同社のブログでサイバー犯罪者が新しい攻撃ベクトルとして「Visual Studio Tools for Office」（以下、VSTO）を悪用する可能性があると分析した。

　VSTOを利用したサイバー攻撃は実行面や永続性の面でも都合がよく、さらに現状でほとんどのセキュリティベンダーが検出できない状態にあるため、今後増加が懸念される。

Deep InstinctはVBAマクロの悪用に代わってVSTOを利用したサイバー攻撃が流行する可能性を指摘した（出典：Deep InstinctのWebサイト）

VBAマクロ無効化に対処　VSTOを利用した攻撃ベクトルの詳細は？

　サイバー犯罪者にとって「Visual Basic for Applications」（VBA）は長年にわたって攻撃ベクトルの中核をなす技術だった。サイバー犯罪者は、「Microsoft Office」のドキュメントに悪意のあるマクロを仕込み、電子メールなどを経由してユーザーにファイルを開かせ、マクロを有効化させることでマルウェアに感染させてきた。このように「Windows」における攻撃ベクトルとしてVBAマクロが果たしてきた役割は非常に大きい。

　しかし、この状況はMicrosoftがインターネットからダウンロードしたMicrosoft OfficeにおけるVBAマクロの実行をデフォルトで無効化するように設定を変更したことで一変した。サイバー攻撃者は従来のVBAマクロを含んだMicrosoft Officeドキュメントがサイバー攻撃ベクトルとして有効ではなくなったことを受けて、他の攻撃ベクトルを模索するようになった。

　既に幾つかの代替技術を使ったサイバー攻撃が確認されているが、Deep Instinctはこうした新しい代替技術としてVSTOが有力な候補になる可能性があるという調査および分析結果を発表した。

　VSTOはMicrosoftの統合開発環境「Visual Studio」で利用できる開発ツールセットだ。VSTOを使うことでMicrosoft Officeアプリケーションの機能を拡張する「Officeアドイン」を.NETで開発できるようになる。さらにOfficeアドインは「Microsoft Word」や「Microsoft Excel」と関連付けたりパッケージ化したりでき、サイバー犯罪者にとって都合のよい動作をする。

　考えられる攻撃手法としてはVBAマクロを使ったものと類似しており、被害者が悪意のあるMicrosoft Wordのドキュメントを開くとアドインをインストールするように促され、ユーザーが許可すると悪意のあるアドインが実行されるといったケースが想定される。

　Deep Instinctは現時点で、VSTOを攻撃ベクトルに使うのは非常に珍しいが、それゆえほとんどのセキュリティベンダーが検出できない状態であり、さらに実行と永続性の両方の観点から扱いやすい技術であるため、近い将来この攻撃ベクトルが人気になる可能性があると指摘している。