Excel XLLアドイン防御機能

ほぼこもセキュリティニュース By Terilogy Worx

オフィスアプリは非常に高機能です。
いろいろな場面で有効な機能が多く実装されています。
そしてそれをさらに便利にするための機構も多数用意されています。

Excelには多くの拡張機能が搭載されています。
自由度の高い機能は実装者の意図次第で便利にもなりますし危険なものにもなります。

Excelなどで利用できるVBAマクロ機能が脅威アクターにとって非常に便利であるものは多くの人が知ることとなりました。
同じように便利なものがまだほかにもあります。
その一つがXLLアドインです。

Excelには組み込みの関数が多数用意されています。
これらを使うことで便利さが増します。
XLLアドインはいろいろな用途に利用することができますが、たとえば自作の関数をExcelの組み込み関数として登録して利用するような用途に利用することができます。
まっとうに利用するととても便利な機能です。

XLLアドインはExcel上から見ると自作の関数となりますが、それが呼び出された後は、XLLアドインとして仕立てられたDLLのなかのロジックが実行されることとなります。
つまり、Excelから呼び出して任意の活動を実施することができるということを意味します。

2021年頃にはすでにこれに目を付けた脅威アクターが活動を開始しており、攻撃の事例が多数観測されています。
2022年もこの傾向は変化せず、XLLを悪用したフィッシングの事例も観測されています。

そんななか、Microsoftの実装計画が発表されました。
インターネットから読み込まれようとするXLLアドインをブロックするという機能を実装するという内容です。
リリース予定は2023年3月です。
これがリリースされればExcelまわりの安全性が増すことでしょう。

しかし、です。
そもそもとしてこういったXLLアドインはメールの添付で配布されたり、ダウンロードリンクで提供されたりします。
そして署名もない状態のバイナリとして配布されます。
これを仮にダウンロードしてしまったとしても、実行すると警告が表示されます。
「潜在的なセキュリティの懸念」とか、「アドインにはウイルスやその他のセキュリティ上の問題が含まれる可能性がある」とか表示されたダイアログが表示されます。
このダイアログを見てもなお実行してしまった人の環境が汚染されているのです。
怪しいダウンロードは入手しない、怪しいファイルは実行しない、ということが意識されていれば、この新しいXLLアドイン防御機構がなくても安全を保つことはできるかもしれません。

どれが怪しくてどれが怪しくないかが難しいものもありますが、こういったことがあるということを知って日々の活動にあたっていきたいと思います。

参考記事(外部リンク):Excel: Blocking XLL add-ins from the internet.
www.microsoft.com/ja-jp/microsoft-365/roadmap?filters=&searchterms=115485

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。