攻撃者はマクロ無効化にどう適応するのか？

<!DOCTYPE html> <html lang="ja" dir="ltr" prefix="content: http://purl.org/rss/1.0/modules/content/ dc: http://purl.org/dc/terms/ foaf: http://xmlns.com/foaf/0.1/ og: http://ogp.me/ns# rdfs: http://www.w3.org/2000/01/rdf-schema# schema: http://schema.org/ sioc: http://rdfs.org/sioc/ns# sioct: http://rdfs.org/sioc/types# skos: http://www.w3.org/2004/02/skos/core# xsd: http://www.w3.org/2001/XMLSchema# " class="page-ja"> <head> <script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= 'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','GTM-MGR7P8X');</script> <script async src="https://www.googletagmanager.com/gtag/js?id=G-B1V8SZE3GL"></script> <script>window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'G-B1V8SZE3GL');</script> <script>(function(){var a=window.mutiny=window.mutiny||{};if(!window.mutiny.client){a.client={_queue:{}};var b=["identify","trackConversion"];var c=[].concat(b,["defaultOptOut","optOut","optIn"]);var d=function factory(c){return function(){for(var d=arguments.length,e=new Array(d),f=0;f<d;f++){e[f]=arguments[f]}a.client._queue[c]=a.client._queue[c]||[];if(b.includes(c)){return new Promise(function(b,d){a.client._queue[c].push({args:e,resolve:b,reject:d})})}else{a.client._queue[c].push({args:e})}}};c.forEach(function(b){a.client[b]=d(b)})}})();</script> <script data-cfasync="false" src="https://client-registry.mutinycdn.com/personalize/client/d454424c4514a20a.js"></script> <meta charset="utf-8" /> <meta name="description" content="" /> <link rel="shortlink" href="https://www.proofpoint.com/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <link rel="canonical" href="https://www.proofpoint.com/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <link rel="image_src" href="https://www.proofpoint.com/sites/default/files/styles/metatag/public/blog-banners/pfpt-bec-blog-banner-5.jpg?itok=C2AfzNhK" /> <link rel="icon" href="/themes/custom/proofpoint/apps/drupal/favicon.ico" /> <link rel="mask-icon" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon.svg" /> <link rel="icon" sizes="16x16" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-16x16.png" /> <link rel="icon" sizes="32x32" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-32x32.png" /> <link rel="icon" sizes="96x96" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-96x96.png" /> <link rel="icon" sizes="192x192" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-192x192.png" /> <link rel="apple-touch-icon" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-60x60.png" /> <link rel="apple-touch-icon" sizes="72x72" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-72x72.png" /> <link rel="apple-touch-icon" sizes="76x76" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-76x76.png" /> <link rel="apple-touch-icon" sizes="114x114" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-114x114.png" /> <link rel="apple-touch-icon" sizes="120x120" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-120x120.png" /> <link rel="apple-touch-icon" sizes="144x144" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-144x144.png" /> <link rel="apple-touch-icon" sizes="152x152" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-152x152.png" /> <link rel="apple-touch-icon" sizes="180x180" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-180x180.png" /> <link rel="apple-touch-icon-precomposed" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-57x57.png" /> <link rel="apple-touch-icon-precomposed" sizes="72x72" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-72x72.png" /> <link rel="apple-touch-icon-precomposed" sizes="76x76" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-76x76.png" /> <link rel="apple-touch-icon-precomposed" sizes="114x114" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-114x114.png" /> <link rel="apple-touch-icon-precomposed" sizes="120x120" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-120x120.png" /> <link rel="apple-touch-icon-precomposed" sizes="144x144" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-144x144.png" /> <link rel="apple-touch-icon-precomposed" sizes="152x152" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-152x152.png" /> <link rel="apple-touch-icon-precomposed" sizes="180x180" href="/themes/custom/proofpoint/apps/drupal/images/favicons/favicon-180x180.png" /> <meta property="og:site_name" content="Proofpoint" /> <meta property="og:type" content="website" /> <meta property="og:url" content="https://www.proofpoint.com/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <meta property="og:title" content="攻撃者はマクロ無効化にどう適応するのか？ | Proofpoint JP" /> <meta property="og:description" content="" /> <meta property="og:image" content="https://www.proofpoint.com/sites/default/files/styles/metatag/public/blog-banners/pfpt-bec-blog-banner-5.jpg?itok=C2AfzNhK" /> <meta property="og:image:url" content="https://www.proofpoint.com/sites/default/files/styles/metatag/public/blog-banners/pfpt-bec-blog-banner-5.jpg?itok=C2AfzNhK" /> <meta property="og:image:secure_url" content="https://www.proofpoint.com/sites/default/files/styles/metatag/public/blog-banners/pfpt-bec-blog-banner-5.jpg?itok=C2AfzNhK" /> <meta property="article:published_time" content="2022-07-26T19:53:16-07:00" /> <meta property="article:modified_time" content="2022-07-29T00:33:51-07:00" /> <meta name="twitter:card" content="summary_large_image" /> <meta name="twitter:description" content="" /> <meta name="twitter:title" content="攻撃者はマクロ無効化にどう適応するのか？ | Proofpoint JP" /> <meta name="twitter:site" content="@proofpoint" /> <meta name="twitter:url" content="https://www.proofpoint.com/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <meta name="twitter:image" content="https://www.proofpoint.com/sites/default/files/styles/metatag/public/blog-banners/pfpt-bec-blog-banner-5.jpg?itok=C2AfzNhK" /> <script data-cfasync="false" type="text/javascript" id="vwoCode">window._vwo_code=window._vwo_code || (function() { var account_id=767242, version=1.3, settings_tolerance=2000, library_tolerance=2500,z use_existing_jquery=false, is_spa=1, hide_element='body', /* DO NOT EDIT BELOW THIS LINE */ f=false,d=document,code={use_existing_jquery:function(){return use_existing_jquery},library_tolerance:function(){return library_tolerance},finish:function(){if(!f){f=true;var e=d.getElementById('_vis_opt_path_hides');if(e)e.parentNode.removeChild(e)}},finished:function(){return f},load:function(e){var t=d.createElement('script');t.fetchPriority='high';t.src=e;t.type='text/javascript';t.innerText;t.onerror=function(){_vwo_code.finish()};d.getElementsByTagName('head')[0].appendChild(t)},init:function(){window.settings_timer=setTimeout(function(){_vwo_code.finish()},settings_tolerance);var e=d.createElement('style'),t=hide_element?hide_element+'{opacity:0 !important;filter:alpha(opacity=0) !important;background:none !important;}':'',i=d.getElementsByTagName('head')[0];e.setAttribute('id','_vis_opt_path_hides');e.setAttribute('nonce',document.querySelector('#vwoCode').nonce);e.setAttribute('type','text/css');if(e.styleSheet)e.styleSheet.cssText=t;else e.appendChild(d.createTextNode(t));i.appendChild(e);this.load('https://dev.visualwebsiteoptimizer.com/j.php?a='+account_id+'&u='+encodeURIComponent(d.URL)+'&f='+ +is_spa+'&vn='+version);return settings_timer}};window._vwo_settings_timer = code.init();return code;}());</script> <meta name="facebook-domain-verification" content="l349mr2tyecyl7w3a1146378lqxru1" /> <meta name="MobileOptimized" content="width" /> <meta name="HandheldFriendly" content="true" /> <meta name="viewport" content="width=device-width, initial-scale=1.0" /> <link rel="preload" href="/themes/custom/proofpoint/dist/app-drupal/assets/fonts/proofpoint.woff2" as="font" crossorigin="anonymous" /> <link rel="preload" href="/themes/custom/proofpoint/dist/app-drupal/assets/fonts/RobotoCondensed-Regular-webfont.woff" as="font" crossorigin="anonymous" /> <link rel="preload" href="/themes/custom/proofpoint/dist/app-drupal/assets/fonts/fjalla-one-v7-latin-regular.woff" as="font" crossorigin="anonymous" /> <link rel="preload" href="/themes/custom/proofpoint/dist/app-drupal/assets/fonts/fjalla-one-v7-latin-regular.woff2" as="font" crossorigin="anonymous" /> <link rel="preload" href="/themes/custom/proofpoint/dist/app-drupal/assets/fonts/RobotoCondensed-Bold-webfont.woff" as="font" crossorigin="anonymous" /> <link rel="alternate" hreflang="en-us" href="https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <link rel="alternate" hreflang="en-gb" href="https://www.proofpoint.com/uk/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <link rel="alternate" hreflang="ja" href="https://www.proofpoint.com/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <link rel="alternate" hreflang="en-au" href="https://www.proofpoint.com/au/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" /> <title>攻撃者はマクロ無効化にどう適応するのか？ | Proofpoint JP</title> <link rel="stylesheet" media="all" href="/sites/default/files/css/css_SzsfcKm17EaxTSftk5pG4vhuvmtTMk2JTGHvDvyHSOU.css?delta=0&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ" /> <link rel="stylesheet" media="all" href="/sites/default/files/css/css_cWr3Q1KKhNOtMoP12eRlKJ63gwB2l48VIEgiIfQWoHs.css?delta=1&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ" /> <script src="/sites/default/files/js/js_Wi8RdyzDF-uwGcwq9eMv1Giiu7RfMo7nYneG5kg6rd4.js?scope=header&delta=0&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ"></script> <script src="https://platform-api.sharethis.com/js/sharethis.js#property=6543fd1a2398960013d900a7&product=inline-share-buttons&source=platform"></script> </head> <body class="path-node"> <a href="#main-content" class="visually-hidden focusable"> メインコンテンツに移動 </a> <div class="limit-width-wrapper"> <div class="dialog-off-canvas-main-canvas" data-off-canvas-main-canvas> <div class="header-nav__spacer"></div> <div class="header-nav js-is-top"> <div class="header-nav__extra"> <div class="header-nav__extra-wrap"> <div class="header-nav__top-language" data-open="content:x_lng"> <span>日本語</span> </div> <div class="header-nav__actions"> <div class="header-nav__top-search" data-open="content:x_sch"> <span>サーチ</span> </div> <div class="header-nav__top-login" data-open="content:x_lgn"> <span>ログイン</span> </div> </div> </div> </div> <div class="header-nav__main"> <div class="header-nav__main-wrap"> <div class="header-nav__expand" data-open="home"></div> <ul class="header-nav__top-links"> <li class="header-nav__top-link"> <div data-open="content:platform_panel" class="header-nav__top-link-text"> プラットフォーム </div> </li> <li class="header-nav__top-link"> <div data-open="content:products_panel" class="header-nav__top-link-text"> 製品 </div> </li> <li class="header-nav__top-link"> <div data-open="content:solutions_panel" class="header-nav__top-link-text"> ソリューション </div> </li> </ul> <a href="/jp" class="header-nav__logo">Proofpoint</a> <div class="header-nav__buttons"> <a href=/jp/contact class="global-elements__cta-button--outline header-nav__button" > <span>お問い合わせ</span> <div class="global-elements__cta-button--arrow-wrapper"></div> </a> </div> <div class="header-nav__mobile-actions"> <div class="header-nav__mobile-search" data-open="content:x_sch">Search</div> <div class="header-nav__mobile-menu" data-open="home"></div> </div> </div> </div> </div> <div class="header-nav__menu"> <div class="header-nav__menu-wrapper"> <div class="header-nav__menu-close"></div> <div class="header-nav__menu-pane" data-home={true}> <ul class="header-nav__home-links"> <li class="header-nav__home-link" data-open="content:platform_panel" ><span>プラットフォーム</span></li> <li class="header-nav__home-link" data-open="content:products_panel" ><span>製品</span></li> <li class="header-nav__home-link" data-open="content:solutions_panel" ><span>ソリューション</span></li> <li class="header-nav__home-link" data-open="content:partners_panel" ><span>パートナー</span></li> <li class="header-nav__home-link" data-open="content:resources_panel" ><span>リソース</span></li> <li class="header-nav__home-link" data-open="content:company_panel" ><span>会社概要</span></li> </ul> <div class="header-nav__menu-extras"> <div class="header-nav__menu-search" data-open="content:x_sch">サーチ</div> <div class="header-nav__menu-login" data-open="content:x_lgn">ログイン</div> <div class="header-nav__menu-language" data-open="content:x_lng">日本語</div> </div> </div> <div class="header-nav__menu-pane" data-sublinks="プラットフォーム"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">プラットフォーム</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-sublinks="製品"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">製品</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-sublinks="ソリューション"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">ソリューション</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-sublinks="パートナー"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">パートナー</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-sublinks="リソース"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">リソース</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-sublinks="会社概要"> <div class="header-nav__sublinks"> <div class="header-nav__expand-title">会社概要</div> <ul class="header-nav__expand-links"> </ul> </div> </div> <div class="header-nav__menu-pane" data-content="products_panel"> <div class="header-nav__content"> <a href="/jp/products/protect-people" class="header-nav__content-link-group-anchor"> <div class="header-nav__content-link-group"> <div class="header-nav__content-group-title">PROTECT PEOPLE</div> <div class="header-nav__content-group-desc">【人を守る】脅威検知、なりすまし、サプライヤーリスクに対応するマルチレイヤーの適応型防御</div> </div> </a> <div class="header-nav__content-link"> <a href="/jp/products/threat-defense" class="header-nav__content-link-text">Email Security</a> <div class="header-nav__content-link-desc">シェアNo.1メールセキュリティ</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/impersonation-protection" class="header-nav__content-link-text">Impersonation Protection</a> <div class="header-nav__content-link-desc">なりすましメール対策（DMARC、類似ドメイン）</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/identity-protection" class="header-nav__content-link-text">Account Takeoverおよび Identity Protection</a> <div class="header-nav__content-link-desc">アカウント乗っ取り対策とアイデンティ保護</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/adaptive-email-security" class="header-nav__content-link-text">Adaptive Email Security</a> <div class="header-nav__content-link-desc">振る舞いAIレイヤーによるAPIメールセキュリティ</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/email-security-and-protection/secure-email-relay" class="header-nav__content-link-text">Secure Email Relay</a> <div class="header-nav__content-link-desc">アプリメールの保護とDMARC導入の加速</div> </div> <a href="/jp/products/defend-data" class="header-nav__content-link-group-anchor"> <div class="header-nav__content-link-group"> <div class="header-nav__content-group-title">DEFEND DATA</div> <div class="header-nav__content-group-desc">【情報を守る】「人」を中心としたオムニチャンネルのアプローチで情報保護を変革</div> </div> </a> <div class="header-nav__content-link"> <a href="/jp/products/data-loss-prevention" class="header-nav__content-link-text">Enterprise DLP</a> <div class="header-nav__content-link-desc">メール・クラウド・エンドポイントからの包括的な行動分析</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/adaptive-email-dlp" class="header-nav__content-link-text">Adaptive Email DLP</a> <div class="header-nav__content-link-desc">メール情報漏えい対策</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/insider-threat-management" class="header-nav__content-link-text">Insider Threat Management</a> <div class="header-nav__content-link-desc">内部不正・内部脅威対策</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/compliance-and-archiving" class="header-nav__content-link-text">Intelligent Compliance</a> <div class="header-nav__content-link-desc">コンプライアンス対策</div> </div> <div class="header-nav__content-link-group"> <div class="header-nav__content-group-title">Mitigate Human Risk</div> <div class="header-nav__content-group-desc">【人的リスクの低減】ユーザーリスクを完全に可視化し、行動改善を促進</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/mitigate-human-risk" class="header-nav__content-link-text">Security Awareness</a> <div class="header-nav__content-link-desc">セキュリティ意識向上トレーニング</div> </div> <div class="header-nav__content-link-group"> <div class="header-nav__content-group-title">ソリューションの強化</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/premium-services" class="header-nav__content-link-text">Premium Services</a> <div class="header-nav__content-link-desc">プレミアムサービス</div> </div> <div class="header-nav__content-link"> <a href="/jp/products/packages" class="header-nav__content-link-text">製品パッケージ</a> </div> <div class="header-nav__content-link-spacer"></div> </div> </div> <div class="header-nav__menu-pane" data-content="solutions_panel"> <div class="header-nav__content"> <div class="header-nav__content-links-title">ソリューション</div> <div class="header-nav__content-link"> <a href="#" class="header-nav__content-link-text" data-open="content:solutions_by_industry_panel">業界別ソリューション</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/email-authentication-with-dmarc" class="header-nav__content-link-text">なりすましメール対策 ( DMARC対応）</a> <div class="header-nav__content-link-desc">DMARCでメール配信を保護</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/combat-email-and-cloud-threats" class="header-nav__content-link-text">メールとクラウドの脅威を阻止</a> <div class="header-nav__content-link-desc">従業員をメールとクラウドの脅威から守るインテリジェントかつ包括的なアプローチ</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/change-user-behavior" class="header-nav__content-link-text">ユーザー行動の変化</a> <div class="header-nav__content-link-desc">被害が出る前に従業員が攻撃を見抜き報告することで脅威を阻止</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/combat-data-loss-and-insider-risk" class="header-nav__content-link-text">データ損失と内部脅威リスクを阻止</a> <div class="header-nav__content-link-desc">コンテンツ・振る舞いを相関分析、従業員の不注意、悪意、アカウントの乗っ取りを防止</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/enable-intelligent-compliance" class="header-nav__content-link-text">最新のコンプライアンスおよびアーカイブ</a> <div class="header-nav__content-link-desc">最新のコンプライアンスとアーカイブソリューションでデータ保存とリスクを管理</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/protect-cloud-apps" class="header-nav__content-link-text">クラウドアプリの保護</a> <div class="header-nav__content-link-desc">クラウドアプリの脅威を排除、情報漏えいの阻止、コンプライアンスリスクの低減</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/prevent-loss-from-ransomware" class="header-nav__content-link-text">ランサムウェア対策</a> <div class="header-nav__content-link-desc">電子メールを保護することでランサムウェアによる攻撃を阻止</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/secure-microsoft-365" class="header-nav__content-link-text">Microsoft 365 の保護</a> <div class="header-nav__content-link-desc">Microsoft 365向け世界最高峰のセキュリティコンプライアンスソリューション</div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/defend-your-remote-workforce" class="header-nav__content-link-text">Cloud Edge でテレワーク従業員を保護する</a> <div class="header-nav__content-link-desc">テレワーク向けセキュリティによる企業データへのアクセスと事業継続性の確保</div> </div> <div class="header-nav__content-link-group"> <div class="header-nav__content-group-title"> </div> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/intel-mcafee-transition" class="header-nav__content-link-text">McAfee(Trerix) メールセキュリティ製品のリプレース</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/upgrade-your-symantec-email-security-to-proofpoint" class="header-nav__content-link-text">Symantec メールセキュリティ製品のリプレース</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/upgrade-your-fireeye-email-security-to-proofpoint" class="header-nav__content-link-text">FireEye(Trerix) メールセキュリティ製品のリプレース</a> </div> </div> </div> <div class="header-nav__menu-pane" data-content="solutions_by_industry_panel"> <div class="header-nav__content"> <h3 class="header-nav__content-title">業界別ソリューション</h3> <div class="header-nav__content-link"> <a href="/jp/solutions/state-and-local-government" class="header-nav__content-link-text">地方自治体</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/financial-services-and-insurance" class="header-nav__content-link-text">金融</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/healthcare-information-security" class="header-nav__content-link-text">医療機関</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/higher-education-security" class="header-nav__content-link-text">高等教育機関</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/email-security-solutions-for-service-providers" class="header-nav__content-link-text">インターネットサービスプロバイダ―(ISP)</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/mobile-message-security-solutions-for-service-providers" class="header-nav__content-link-text">モバイル事業者</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/protection-compliance-small-business" class="header-nav__content-link-text">中小企業(SMB)</a> </div> <div class="header-nav__content-link"> <a href="/jp/solutions/federal" class="header-nav__content-link-text">政府機関</a> </div> </div> </div> <div class="header-nav__menu-pane" data-content="partners_panel"> <div class="header-nav__content"> <div class="header-nav__content-links-title">パートナー</div> <div class="header-nav__content-link"> <a href="/jp/partners/channel-partners" class="header-nav__content-link-text">パートナーリスト</a> <div class="header-nav__content-link-desc">Proofpointソリューションをお客様に提供するチャネルパートナー</div> </div> <div class="header-nav__content-link"> <a href="/jp/partners/trusted-data-solutions-partnership" class="header-nav__content-link-text">アーカイブ移行パートナー</a> <div class="header-nav__content-link-desc">プルーフポイントアーカイブ移行パートナーについて</div> </div> <div class="header-nav__content-link"> <a href="/jp/partners/technology-alliance-partners" class="header-nav__content-link-text">テクニカルアライアンスパートナー</a> <div class="header-nav__content-link-desc">業界をリードするソリューションベンダとの技術連携</div> </div> <div class="header-nav__content-link"> <a href="https://partners.proofpoint.com/prm/Japanese/s/applicant" class="header-nav__content-link-text">Become a Channel Partner</a> <div class="header-nav__content-link-desc">パートナー申請</div> </div> <div class="header-nav__content-link"> <a href="https://partners.proofpoint.com/Japanese/" class="header-nav__content-link-text">Partner Portalへのログイン</a> </div> </div> </div> <div class="header-nav__menu-pane" data-content="resources_panel"> <div class="header-nav__content"> <div class="header-nav__content-links-title">リソース</div> <div class="header-nav__content-link"> <a href="/jp/resources" class="header-nav__content-link-text">リソースライブラリ</a> </div> <div class="header-nav__content-link"> <a href="/jp/blog" class="header-nav__content-link-text">プルーフポイントBlog</a> </div> <div class="header-nav__content-link"> <a href="/jp/customer-stories" class="header-nav__content-link-text">導入事例</a> </div> <div class="header-nav__content-link"> <a href="/jp/events?term_node_tid_depth=8276&field_event_type_tid=All&field_event_region_tid=8276" class="header-nav__content-link-text">イベント・セミナー</a> </div> <div class="header-nav__content-link"> <a href="/jp/webinars" class="header-nav__content-link-text">ウェビナー</a> </div> <div class="header-nav__content-link"> <a href="/jp/threat-reference" class="header-nav__content-link-text">サイバー脅威用語集 (Threat Glossary)</a> </div> <div class="header-nav__content-link"> <a href="/jp/new-perimeters" class="header-nav__content-link-text">New Perimeters マガジン</a> <div class="header-nav__content-link-desc">プルーフポイントのサイバーセキュリティ・エキスパートが最新の知見をお届け</div> </div> </div> </div> <div class="header-nav__menu-pane" data-content="company_panel"> <div class="header-nav__content"> <div class="header-nav__content-links-title">会社概要</div> <div class="header-nav__content-link"> <a href="/jp/company/about" class="header-nav__content-link-text">会社概要</a> </div> <div class="header-nav__content-link"> <a href="/jp/why-proofpoint" class="header-nav__content-link-text">Proofpointを選ぶ理由</a> </div> <div class="header-nav__content-link"> <a href="/jp/news#press-releases" class="header-nav__content-link-text">プレスリリース</a> </div> <div class="header-nav__content-link"> <a href="/jp/news#in-the-news" class="header-nav__content-link-text">掲載メディア</a> </div> <div class="header-nav__content-link"> <a href="/jp/news#awards" class="header-nav__content-link-text">受賞アワード</a> </div> <div class="header-nav__content-link"> <a href="/jp/legal/trust" class="header-nav__content-link-text">プライバシーと信頼</a> </div> <div class="header-nav__content-link"> <a href="/jp/contact" class="header-nav__content-link-text">お問い合わせ</a> </div> </div> </div> <div class="header-nav__menu-pane" data-content="platform_panel"> <div class="header-nav__content"> <h3 class="header-nav__content-title">プラットフォーム</h3> <div class="header-nav__content-heading">「人」を中心に構築するプルーフポイントの Human-Centricプラットフォーム</div> <a href=/jp/platform class="global-elements__cta-button header-nav__content-button" > <span>詳細はこちら</span> <div class="global-elements__cta-button--arrow-wrapper"></div> </a> <div class="header-nav__content-link"> <a href="/jp/platform/nexus" class="header-nav__content-link-text">Proofpoint Nexus</a> <div class="header-nav__content-link-desc">人を守り、情報を守る検知テクノロジー</div> </div> <div class="header-nav__content-link"> <a href="/jp/platform/zen" class="header-nav__content-link-text">Proofpoint Zen</a> <div class="header-nav__content-link-desc">場所を問わずユーザーを守り、意識を向上</div> </div> </div> </div> <div class="header-nav__menu-pane" data-content="x_sch"> <div class="header-nav__content"> <div class="header-nav__content-title--search"> Search Proofpoint </div> <div class="header-nav__search"> <form class="header-nav__search-form"> <input type="text" class="header-nav__search-input" placeholder=""> <input type="submit" class="header-nav__search-button" val="サーチ"> </form> <div class="header-nav__search-sugg-title">Try searching for</div> <div class="header-nav__search-suggestions"> <a href="/jp/search?content%5Bquery%5D=Email%20Security" class="header-nav__search-suggestion">Email Security</a> <a href="/jp/search?content%5Bquery%5D=Phishing" class="header-nav__search-suggestion">Phishing</a> <a href="/jp/search?content%5Bquery%5D=DLP" class="header-nav__search-suggestion">DLP</a> <a href="/jp/search?content%5Bquery%5D=Email%20Fraud" class="header-nav__search-suggestion">Email Fraud</a> </div> </div> </div> </div> <div class="header-nav__menu-pane" data-content="x_lgn"> <div class="header-nav__content"> <div class="header-nav__content-title"> Select Product Login </div> <ul class="header-nav__logins"> <li class="header-nav__content-login"> <a href="https://proofpoint.my.site.com/community/s/" target="_blank">Support Log-in</a> </li> <li class="header-nav__content-login"> <a href="https://proofpointcybersecurityacademy.adobelearningmanager.com" target="_blank">Proofpoint Cybersecurity Academy</a> </li> <li class="header-nav__content-login"> <a href="https://suite.nexgate.com/users/sign_in" target="_blank">Digital Risk Portal</a> </li> <li class="header-nav__content-login"> <a href="https://emaildefense.proofpoint.com/login.php" target="_blank">Email Fraud Defense</a> </li> <li class="header-nav__content-login"> <a href="https://threatintel.proofpoint.com/" target="_blank">ET Intelligence</a> </li> <li class="header-nav__content-login"> <a href="https://us1.proofpointessentials.com/app/login.php" target="_blank">Proofpoint Essentials</a> </li> <li class="header-nav__content-login"> <a href="https://proofpointcommunities.force.com/community" target="_blank">Sendmail Support Log-in</a> </li> </ul> </div> </div> <div class="header-nav__menu-pane" data-content="x_lng"> <div class="header-nav__content"> <div class="header-nav__content-title"> Select Language </div> <ul class="header-nav__language-links"> <li class="header-nav__language-link"> <a href="/jp">日本語</a> </li> <li class="header-nav__language-link"> <a href="/us">English (Americas)</a> </li> <li class="header-nav__language-link"> <a href="/uk">English (Europe, Middle East, Africa)</a> </li> <li class="header-nav__language-link"> <a href="/au">English (Asia-Pacific)</a> </li> <li class="header-nav__language-link"> <a href="/es">Español</a> </li> <li class="header-nav__language-link"> <a href="/de">Deutsch</a> </li> <li class="header-nav__language-link"> <a href="/fr">Français</a> </li> <li class="header-nav__language-link"> <a href="/it">Italiano</a> </li> <li class="header-nav__language-link"> <a href="/br">Português</a> </li> <li class="header-nav__language-link"> <a href="/kr">한국어</a> </li> </ul> </div> </div> </div> </div> <div class="layout-container"> <div> <div data-drupal-messages-fallback class="hidden"></div> </div> <main class="container" role="main"> <a id="main-content" tabindex="-1"></a> <section class="row"> <div class="layout-content"> <div> <div id="block-particle-content"> <article about="/jp/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world" class="node--type--blog-post node--view-mode--full node node-blog-full"> <div class="breadcrumbs"><div class="nav-crumbs"><div class="breadcrumb__item"><a href="/jp/blog" class="breadcrum__item-link">Blog</a></div><div class="breadcrumb__item"><a href="/jp/blog/threat-insight" class="breadcrum__item-link">Threat Insight</a></div><div class="breadcrumb__item"> 攻撃者はマクロ無効化にどう適応するのか？ </div></div></div> <div class="blog-banner"> <div class="blog-banner__image"> <picture> <source srcset="/sites/default/files/styles/image_1920_750/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=rHq0yT5a 1x" media="screen and (min-width: 1440px)" type="image/webp" width="1920" height="750"/> <source srcset="/sites/default/files/styles/image_1024_400/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=Ll0DsZ-t 1x" media="screen and (min-width: 1024px)" type="image/webp" width="1024" height="400"/> <source srcset="/sites/default/files/styles/image_768_375/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=9IHISsHp 1x" media="screen and (min-width: 768px)" type="image/webp" width="768" height="375"/> <source srcset="/sites/default/files/styles/image_1920_750/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=rHq0yT5a 1x" media="screen and (min-width: 1440px)" type="image/webp" width="1920" height="750"/> <source srcset="/sites/default/files/styles/image_1024_400/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=Ll0DsZ-t 1x" media="screen and (min-width: 1024px)" type="image/webp" width="1024" height="400"/> <source srcset="/sites/default/files/styles/image_768_375/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=9IHISsHp 1x" media="screen and (min-width: 768px)" type="image/webp" width="768" height="375"/> <img loading="lazy" src="/sites/default/files/styles/image_768_300/public/blog-banners/pfpt-bec-blog-banner-5.jpg.webp?itok=QUIlZbj9" width="768" height="300" alt="BEC and EAC" typeof="foaf:Image" /> </picture> </div> <div class="blog-banner__gradient-overlay"></div> <div class="blog-banner__heading-wrap"> <h1 class="blog-banner__heading"> <span>攻撃者はマクロ無効化にどう適応するのか？</span> </h1> </div> </div> <div class="blog-content"> <div class="blog-content__sharethis sharethis_toolbox sharethis_32x32_style"> <div class="blog-content__sharethis_label sharethis__label">Share with your network!</div> <div class="blog-content__sharethis_buttons sharethis_buttons"> <div class="sharethis-inline-share-buttons"></div> </div> </div> <div class="blog-content__metadata blog-content__metadata-author"> <span class="blog-content__date"> <time datetime="2022-07-28T11:16:26Z">2022年7月28日</time> </span> <span class="blog-content__author"> Yukimi Sohta </span> </div> <div class="node-full__body blog-content__body"> <p><meta charset="utf-8"></p> <h2>主な調査結果:</h2> <ul> <li><strong>Microsoft Office ファイル内のマクロをデフォルトで無効化するという Microsoft の発表を受けて、攻撃者は、新しい戦術、技術、手順（TTP）を採用し始めました。</strong></li> <li><strong>攻撃者は、ISOやRARなどのコンテナ・ファイルやWindowsショートカット（LNK）ファイルを使用してマルウェアを配布するキャンペーンを行うことが多くなっています。 </strong></li> <li><strong>プルーフポイントは、攻撃キャンペーンデータに基づき、VBAおよびXL4マクロの使用が2021年10月から2022年6月にかけて約66%減少していることを確認しています。</strong></li> </ul> <h2>概要</h2> <p>Microsoftは、<a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-is-disabling-excel-40-macros-by-default-to-protect-users/" target="_blank">2021年10月</a>にXL4、<a href="https://www.theregister.com/2022/02/08/microsoft_office_default_macro_block/" target="_blank">2022年2月</a>にVBAマクロをOfficeユーザーのデフォルトでブロックすることを開始すると発表しました。この変更は今年に入ってから展開されました。(7月にはVBAマクロのブロックの実施について一部混乱がありましたが、Microsoftはこの展開を<a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-starts-blocking-office-macros-by-default-once-again/" target="_blank">継続すると発表</a>しました)。</p> <p>このMicrosoftの発表に対応するために、攻撃者はマクロを用いた攻撃手法から別の攻撃手法へ移行しています。2021年10月から2022年6月までのプルーフポイントが観測した攻撃キャンペーンデータによると、攻撃者はマルウェアを配信するためにメールメッセージに直接添付するマクロつき文書から攻撃手法を変更し、ISOやRAR添付ファイル、Windowsショートカット（LNK）ファイルなどのコンテナファイルを利用する件数が増加しました。</p> <p>プルーフポイントの脅威リサーチャーのマニュアル分析によると、<strong>攻撃者によるマクロ添付ファイルの使用は2021年10月から2022年6月の間に約66%減少</strong>しています。</p> <p>VBAマクロは、ユーザーがOfficeアプリケーションでマクロを有効にした場合、攻撃者が悪意のあるコンテンツを自動的に実行するために使用されます。XL4マクロは、Excelアプリケーションに特有のものですが、攻撃者が武器として使用することも可能です。通常、マクロを使用した文書を配布する攻撃者は、<a data-entity-substitution="canonical" data-entity-type="node" data-entity-uuid="5cc96b30-652b-46e7-9b39-fb45adb59c4b" href="/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report" target="_blank" title="How Threat Actors Hijack Attention: The 2022 Social Engineering Report ">ソーシャルエンジニアリング</a>の手法を用いて、受信者にコンテンツが重要であり、それを閲覧するためにはマクロを有効にする必要があると信じ込ませます。</p> <p><img alt="emotet" data-entity-type="file" data-entity-uuid="1d10cde1-55d6-422f-8223-7bc0ae02cf36" src="/sites/default/files/inline-images/Screen%20Shot%202022-07-26%20at%2011.18.38%20AM.png" width="1014" height="625" loading="lazy"></p> <p><em>例1：最近の攻撃キャンペーンでのEmotet Excelの添付ファイル</em></p> <p>プルーフポイントのリサーチャーは、マイクロソフトが提案する防御策を回避するために、攻撃者はメッセージに直接添付するマクロ対応文書やURL経由でダウンロードされた文書から、攻撃手法を変更し始めるだろうと予想しています。プルーフポイントの検知ソリューションにおいて、マクロ文書以外の他の種類の添付ファイルが顕著に増加していることを確認しましたが、マクロ文書は依然として脅威の現場で使用されています。プルーフポイントのリサーチャーは、脅威の状況をより深く理解し、今後の行動を予測するために、2021年10月から2022年6月にかけて複数のファイルタイプの使用状況を調査しました。</p> <p> </p> <h2>Mark-of-the-Webのバイパス</h2> <p>Microsoftは、Zone.Identifierと呼ばれるインターネットからのファイルかどうかを示すMark of the Web (MOTW) 属性に基づいて、VBAマクロをデフォルトでブロックするよう仕様を変更しました。Microsoftのアプリケーションは、Webからのダウンロード時に一部のドキュメントにこのMark of the Web (MOTW) 属性を追加します。しかし、<a href="https://attack.mitre.org/techniques/T1553/005/" rel=" noopener" target="_blank">MOTWは、コンテナファイル形式を使用することで回避</a>することができます。ITセキュリティ企業のOutflankは、レッドチームがMOTWの仕組みを回避するための複数の選択肢を<a href="https://outflank.nl/blog/2020/03/30/mark-of-the-web-from-a-red-teams-perspective/" target="_blank">詳述</a>しており、これらのテクニックは攻撃者も同様に使用することができます。</p> <p>攻撃者は、ISO（.iso）、RAR（.rar）、ZIP（.zip）、IMG（.img）ファイルなどのコンテナファイル形式を使用して、マクロを有効にしたドキュメントを送信することができます。ダウンロードされる際、ISOやRARなどのファイルはインターネットからダウンロードされたものなのでMOTW属性が付きますが、コンテナ内のドキュメント（マクロ対応スプレッドシートなど）にはMOTW属性が付きません。コンテナファイルを解凍して中身の文書が抽出される際に、ファイルシステムは中身の文書がWebからのものであることを認識することができません。そのため、ユーザーがマクロを有効にしてしまうと、ファイルシステムはマクロをデフォルトでブロックしないため、悪意のあるコードが自動的に実行されてしまいます。</p> <p>さらに、攻撃者は、ペイロードを直接配布するためにコンテナファイルを使用することができます。コンテナファイルを開くと、LNK、DLL、実行ファイル（.exe）など、悪意のあるペイロードをインストールさせるための追加コンテンツが含まれている場合があります。</p> <p><img alt="ISO添付ファイルの攻撃チェーン" data-entity-type="file" data-entity-uuid="5b1d3082-7a03-496c-9510-b5565346264b" height="244" src="/sites/default/files/inline-images/ISO-attachment-attack-chain_jp.png" width="1005" loading="lazy"></p> <p><em>図1：ISOの添付ファイルを使用して<a data-entity-substitution="canonical" data-entity-type="node" data-entity-uuid="7cdefd67-f846-460e-94f9-bef69d627130" href="/jp/blog/threat-insight/bumblebee-is-still-transforming" rel=" noopener" target="_blank" title="マルウェアBumblebeeのトランスフォーム">Bumblebeeマルウェアを配信</a>する攻撃チェーンの例</em></p> <p>プルーフポイントのリサーチャーは当初、マクロ文書ではなく、XLLファイルの使用が攻撃キャンペーンでよく使用されるようになってきているのではないかという仮説を立てていました。XLLファイルは、Excel用のダイナミック・リンク・ライブラリ（DLL）ファイルの一種で、Excelアプリケーションの機能性を高めるために設計されたものです。Microsoftが2021年にXL4マクロを無効にすることを発表した後、XLLファイルの乱用が若干増加していることをプルーフポイントは確認していますが、使用量は、ISO、RAR、LNKファイル、およびマクロドキュメントよりもまだはるかにボリュームが少ないです。</p> <p> </p> <h2>攻撃キャンペーン統計</h2> <p>プルーフポイント社では、電子メールベースのサイバー脅威において、添付ファイルとして活用されるマクロ文書の大幅な減少を確認しています。</p> <p><strong>マクロを利用した攻撃キャンペーンの数は、2021年10月から2022年6月の間に3分の2以上減少</strong>しています。同じ期間に、<strong>ISOやRARなどのコンテナファイル、Windowsショートカット（LNK）の添付ファイルを活用するキャンペーンは175%近く増加</strong>しました。</p> <p><img alt="コンテナファイル、マクロファイルを用いた攻撃キャンペーン数の推移" data-entity-type="file" data-entity-uuid="d4592f41-0d5f-4743-ab00-d8a41c2d092c" height="620" src="/sites/default/files/inline-images/Macro-Attack-Campaign-graph_jp_2.png" width="1053" loading="lazy"></p> <p><em>図2：コンテナファイルとマクロファイルをメール添付で活用した攻撃キャンペーン数の推移(</em><em>2021年10月～2022年6月)</em></p> <p>図を見ると、攻撃キャンペーンにおいて、ISOファイルやLNKファイルの利用が増加していることがわかります。<a href="/node/116421" rel=" noopener" target="_blank">マルウェア「Bumblebee」</a>を配布する攻撃者など、サイバー犯罪エコシステムにおける初期アクセスとして、ISOやLNKファイルを採用する傾向が強まっています。<strong>ISOファイルの使用は、2021年10月から2022年6月の間に150%以上増加</strong>しました。この間にISOファイルを使用した追跡対象の15の攻撃グループの半数以上が、2022年1月以降のキャンペーンでISOファイルを使用するようになりました。</p> <p> </p> <p>攻撃キャンペーンデータの中で最も注目すべき変化は、LNKファイルの出現です。2022年2月以降、少なくとも10の追跡可能な攻撃者がLNKファイルを使用するようになりました。<strong>LNKファイルを含む攻撃キャンペーンの数は、2021年10月以降、1,675%増加</strong>しました。プルーフポイントは、2021年10月以降、<a data-entity-substitution="canonical" data-entity-type="node" data-entity-uuid="808cbec7-5362-4cc5-9ce9-c5c496287e44" href="/jp/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails" rel=" noopener" target="_blank" title="隠れた奇襲: APTグループが侵害したウクライナ軍のメールを利用しEU各国政府と難民活動を標的に">複数のサイバー犯罪者やAPT (国家を後ろ盾とする高度標的型攻撃グループ）が、LNKファイルを活用する</a>頻度があがっていることを確認しています。</p> <p><img alt="LNKを用いた攻撃キャンペーン数の推移" data-entity-type="file" data-entity-uuid="bfc352f3-ce75-4f62-8491-d90610c0a85b" height="567" src="/sites/default/files/inline-images/LNK-Attack-Campaign-graph_jp.png" width="1034" loading="lazy"></p> <p>図3：LNKファイルを活用した攻撃キャンペーン数の推移<em>(</em><em>2021年10月～2022年6月)</em></p> <p> </p> <p>大規模な攻撃を実行するサイバー犯罪集団が行う個々の脅威活動は、プルーフポイントのデータに顕著に表れています。例えば、プルーフポイント社では、攻撃者が攻撃キャンペーンでXL4マクロを使用するのは減少傾向にあることを確認しています。しかし、2022年3月にXL4マクロの使用量が急増しました。これは、Emotetマルウェアを配信する攻撃グループであるTA542が、それ以前の月よりもメッセージ量の多いキャンペーンを実施した結果であると考えられます。通常、TA542は、VBAやXL4マクロを含むMicrosoft ExcelやWordのドキュメントを使用します。その後、Emotetの活動は4月に減少し、その後のキャンペーンでは、Excel Add In（XLL）ファイルやzip圧縮されたLNKの添付ファイルなど、追加の配信方法を使用するようになりました。</p> <p><img alt="XL4マクロを用いた攻撃キャンペーン数の推移" data-entity-type="file" data-entity-uuid="e6c851c4-53fe-47f3-988a-9b4f2ece672f" height="558" src="/sites/default/files/inline-images/XL4-macro-attack-Campaign-graph_jp.png" width="1065" loading="lazy"></p> <p><em>図4：XL4マクロを用いた攻撃キャンペーン数の推移 (</em><em>2021年10月～2022年6月)</em></p> <p> </p> <p><em>VBAマクロの数も経時的に減少し、2022年5月と6月に再び減少する前に、3月と4月に小さなスパイクを含んでいます。2022年春のこのわずかな増加は、TA542のような単一の攻撃者に起因するものではなく、むしろこの時期には、脅威環境全体にておいて、複数の攻撃者がVBAマクロを使用していました。</em></p> <p> </p> <p><img alt="VBAマクロを用いた攻撃キャンペーン数の推移" data-entity-type="file" data-entity-uuid="6f6bdf0c-e33d-4e5d-a9ab-208ad48d9e47" height="594" src="/sites/default/files/inline-images/VBA-macro-attack-campaign-graph-jp.png" width="946" loading="lazy"></p> <p><em>図5：VBAマクロを用いた攻撃キャンペーン数の推移(</em><em>2021年10月～2022年6月)</em></p> <p>プルーフポイント社では、HTML添付ファイルを使用してマルウェアを配信する攻撃者がわずかに増加していることも確認しています。<strong>HTML添付ファイルを使用したマルウェアキャンペーンの数は、2021年10月から2022年6月にかけて2倍以上に増加</strong>しましたが、全体としては依然として低い水準にとどまっています。また、プルーフポイントのリサーチャーは、攻撃者が<strong>HTMLスマグリング</strong>（標的となるエンドポイントのブラウザ内で、特別に細工されたHTML添付ファイルやWebページを生成し、そのページ内に、エンコードされた悪意のあるファイルが秘密裏に"スマグリング" (密輸)される手法）を採用する傾向が強まっていることも確認しています。</p> <p> </p> <h2>結論</h2> <p>攻撃者は、初期アクセスを確立する攻撃の手段を、マクロを使用した文書から、異なるファイル形式を使用した手法に移行しつつあります。マクロの代わりに、ISO やその他のコンテナファイル形式、および LNK ファイルが採用されるようになってきています。これらのファイル形式は、マイクロソフトのマクロブロック保護を回避し、後続のマルウェアを呼び込んだり、データを探索し窃取したり、ランサムウェアにつながる実行ファイルの配布を容易にします。</p> <p>プルーフポイントのリサーチャーは、これは最近の歴史上、最も大きな電子メール脅威の状況の変化の1つであると確信を持って評価しています。今後も、攻撃者はコンテナファイル形式を使用してマルウェアを配信する一方、マクロを使用した添付ファイルへの依存度は低くなると考えられます。</p> <p> </p> <a aria-label data-entity-substitution="canonical" data-entity-type="node" data-entity-uuid="4a1de394-16b4-485d-bb50-af1addaf09af" href="/jp/resources/threat-reports/human-factor" id rel target title="Human Factor"><img alt="脅威レポート：Human Factor 2022 サイバーセキュリティにおける人的要因分析" data-entity-type="file" data-entity-uuid="2d544e7e-45ed-41a7-84b1-ab026cde1f27" src="/sites/default/files/inline-images/20220722_Human-Factor-2022_blog.png" class="align-center" width="1200" height="230" loading="lazy"></a> </div> </div> <div class="blog__content-pager"> <div class="content-pager"> <div class="content-pager__items-wrapper"> <div class="content-pager__items"> <div class="content-pager__item content-pager__item--prev"> <a href="/jp/blog/threat-insight/caught-beneath-landline-411-telephone-oriented-attack-delivery" hreflang="ja">Previous Blog Post</a> </div> <div class="content-pager__item content-pager__item--next"> <a href="/jp/blog/threat-insight/chasing-currents-espionage-south-china-sea" hreflang="ja">Next Blog Post</a> </div> </div> </div> </div> </div> </article> </div> </div> </div> </section> </main> </div> <div class="footer-v3" data-animate="true"> <div class="footer-v3__inner"> <nav class="footer-v3__nav"> <div class="footer-v3__nav-wrapper"> <div class="footer-v3__nav-heading">Products</div> <ul class="footer-v3__nav-collapsible"> <li><a href="/jp/products/email-security-and-protection/email-protection">メールセキュリティ対策</a></li> <li><a href="/jp/products/advanced-threat-protection">高度なサイバーセキュリティ対策</a></li> <li><a href="/jp/products/security-awareness-training">セキュリティ意識向上トレーニング</a></li> <li><a href="/jp/products/cloud-security">クラウドセキュリティ</a></li> <li><a href="/jp/products/archiving-and-compliance">アーカイブとコンプライアンス対策</a></li> <li><a href="/jp/products/information-protection">侵入後の情報漏えい対策</a></li> </ul> </div> <div class="footer-v3__nav-wrapper"> <div class="footer-v3__nav-heading">Get Support</div> <ul class="footer-v3__nav-collapsible"> <li><a href="https://proofpoint.my.site.com/community/s/" target="_blank">サポートログイン</a></li> <li><a href="https://ipcheck.proofpoint.com" target="_blank">IPアドレスがブロックされた場合</a></li> <li><a href="/jp/support-services/ip-blocked-faq" target="_blank">IP Lookupについてよくあるご質問</a></li> </ul> </div> <div class="footer-v3__nav-wrapper"> <div class="footer-v3__nav-heading">Connect with Us</div> <ul class="footer-v3__nav-collapsible"> <li><a href="/jp/contact">お問い合わせ</a></li> <li><a href="/us/free-trial-request">無料デモ・評価版</a></li> </ul> </div> <div class="footer-v3__nav-wrapper"> <div class="footer-v3__nav-heading">企業情報</div> <ul class="footer-v3__nav-collapsible"> <li><a href="/jp/company/about">会社概要</a></li> <li><a href="/jp/why-proofpoint">Proofpointを選ぶ理由</a></li> <li><a href="/jp/leadership-team">経営陣 (英語)</a></li> <li><a href="/jp/news#press-releases">プレスリリース</a></li> <li><a href="/jp/technology-platform">Nexus Platform</a></li> <li><a href="/jp/legal/trust">Privacy and Trust</a></li> </ul> </div> </nav> <div class="footer-v3__bottom-wrap"> <section class="footer-v3__bottom"> <div class="footer-v3__logo"> <a href="/jp" class="footer-v3__logo-link"> <div class="footer-v3__logo-image"></div> </a> <div class="footer-v3__bottom-copyright-info">© 2024. All rights reserved. </div> </div> <div class="footer-v3__bottom-copyright"> <a class="footer-v3__bottom-copyright-info" href="/jp/legal/license">Terms and conditions</a> <a class="footer-v3__bottom-copyright-info" href="/jp/legal/privacy-policy">Privacy Policy</a> <a class="footer-v3__bottom-copyright-info" href="/jp/sitemap">Sitemap</a> </div> <ul class="footer-v3__bottom-social-menu"> <li> <a href="https://www.facebook.com/%E6%97%A5%E6%9C%AC%E3%83%97%E3%83%AB%E3%83%BC%E3%83%95%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88-124824890978905" class="icon-facebook" target="_blank"></a> </li> <li> <a href="https://twitter.com/proofpointjpn" class="icon-twitter" target="_blank"></a> </li> <li> <a href="https://www.linkedin.com/company/54318831/" class="icon-linkedin" target="_blank"></a> </li> <li> <a href="https://www.youtube.com/user/ProofpointJapan" class="icon-youtube-play" target="_blank"></a> </li> <li> <a href="https://www.instagram.com/proofpoint" class="icon-instagram" target="_blank"></a> </li> </ul> </section> </div> </div> </div> </div> <script type="text/javascript">document.write(unescape("%3Cscript src='//munchkin.marketo.net/munchkin.js' type='text/javascript'%3E%3C/script%3E")); </script> <script>Munchkin.init('309-RHV-619');</script><div class="element-invisible" style="clear:both;">  <script type="text/javascript"> /* <![CDATA[ */ var google_conversion_id = 950296937; var google_custom_params = window.google_tag_params; var google_remarketing_only = true; /* ]]> */ </script> <script type="text/javascript" src="//www.googleadservices.com/pagead/conversion.js"> </script> <noscript> <div style="display:inline;"> <img height="1" width="1" style="border-style:none;" alt="" src="//googleads.g.doubleclick.net/pagead/viewthroughconversion/950296937/?value=0&guid=ON&script=0"/> </div> </noscript></div> </div> <div id="flyout-container"></div> <script type="application/json" data-drupal-selector="drupal-settings-json">{"path":{"baseUrl":"\/","pathPrefix":"jp\/","currentPath":"node\/118921","currentPathIsAdmin":false,"isFront":false,"currentLanguage":"ja"},"pluralDelimiter":"\u0003","suppressDeprecationErrors":true,"ajaxPageState":{"libraries":"eJxVjlEKwzAMQy_UEMZ-dpvhpG6S1bGL4xZ2-6WlrNuPQU9Y0gJqJRL6QJKG5asUYYy61tAuGIUN2dwCCfUXK15qEjFUt90vlEgCkEPC2t9_ApNIInRTz23uBZeRe3sPYdj-WeG-cXmW24M9Aae1L3EjGkYT3Z0KOqOJryvHPBfeWUPQmP1qhdqhMyj641ouB7Lcp3mDwBDCWXIyEQqgQ3s3w-oDNPwA7W52GQ","theme":"particle","theme_token":null},"ajaxTrustedUrl":[],"vwo":{"id":767242,"timeout_library":2500,"timeout_setting":2000,"usejquery":"false","testnull":null},"pp_i18n":{"language":"jp"},"instantsearch":{"indexName":"content","path":"jp\/search"},"user":{"uid":0,"permissionsHash":"26dd96d39e445e838e5f0382a0a4240ea0629de7ad59c3778594246405e2ccf5"}}</script> <script src="/sites/default/files/js/js_vUY8QfwoqfmsOa66-UODJjMbl38160btL9MxfQi0Dkg.js?scope=footer&delta=0&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ"></script> <script src="https://geoip-js.com/js/apis/geoip2/v2.1/geoip2.js"></script> <script src="/sites/default/files/js/js_DA7GHFg6Iz1O22c58zPl-nNTEwx5y7RuyKjesK1mXJI.js?scope=footer&delta=2&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ"></script> <script src="//munchkin.marketo.net/munchkin.js"></script> <script src="/sites/default/files/js/js_Q_hAq3KoriT4uxdUnA3XDouviRgbwswFyj5MCBnzVHU.js?scope=footer&delta=4&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ"></script> <script src="/themes/custom/proofpoint/apps/drupal/../../dist/app-drupal/assets/js/app.js?q=_dtj1XYObGo&v=1"></script> <script src="/sites/default/files/js/js_2LYNA9Zu5KE51oXU7U2qX9zbS5cCqO7wzxelxAEWhjk.js?scope=footer&delta=6&language=ja&theme=particle&include=eJxVj0EOAjEIRS80TWPceBsDHaatUmgoY-LtrW5m3JDwecn79H6vl5tEBsk7ZAorOSVXW3q_N7Anuca2SyrPKt9sEFgqcffK47t7oUbRVRnBlvEeTi0iDFo6mNfEFJManVBAAcQq-SCyamYKm4qP8IDjsKk6WXhdf-oCRvE3vdRxUMiazzpxEg99vmNHXAjWPynaTJLtDcc_NYUCr1M7VgQOxLP-LPgBB8F2GQ"></script> </body> </html>

CINXE.COM

攻撃者はマクロ無効化にどう適応するのか？ | Proofpoint JP