トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Office マクロの影響 のバックアップ(No.2)

・レベル1セキュリティ構成(Windows 10)

・L1 Excel 2016 のグループポリシー

外部からマルウェアをダウンロードする際に、最も多く悪用されているのが、Office の Visual Basic for Application (VBA、マクロともいいます)です。マクロからPowerShell などのスクリプト言語を呼び出し、インターネットから悪意あるプログラムの本体をダウンロードする端緒は、このマクロです。従って、マクロを動作させないことが、マルウェアからの被害を軽減する重要な設定といえます。
そこで、L1 Excel 2016 などでは、[ユーザーの構成]>[ポリシー]>[管理用テンプレート]>[Microsoft Excel 2016]>[Excel のオプション]>[セキュリティ]>[セキュリティセンター]>[VBA マクロ通知設定] が [有効:通知してすべてを無効にする] としており、マクロの実行はできない設定となっています。この設定は他のOfficeアプリケーションでも同様です。

業務で必要なマクロを実行したい場合

一方で、業務を効率よくするためにマクロが欠かせない業務も存在します。このため、このポリシーが全社に展開されると、業務に支障をきたすことになります。しかし、マルウェアの被害を軽減することも重要です。そこで、通常は、マクロ禁止の設定をしておき、マクロを含むファイルを開くときだけマクロを有効にする設定を行うことで、万一、メールに添付された悪意あるマクロ付き Excel を開いても、マクロの実行を停止することができます。

設定手順

  1. マクロを実行する端末を特定し、コンピュータグループを作成、登録します。
  2. [AllowMacro] などの わかりやすい OU を作成し、コンピュータグループを登録します。
  3. コンピュータグループが登録された OU の グループポリシー で [VBA マクロ通知設定] で [すべてのマクロを有効にする(推奨しません)] を設定します。
  4. 端末ごとに以下のバッチファイルを作成します。このバッチは、レジストリでマクロを有効にしてマクロが登録されたExcelファイルを開き、Excelの終了後、再びレジストリでマクロを禁止する設定を行います。これによって、メールやインターネットからダウンロードされたマクロ付きExcelファイルを開いても、マクロが実行されず、被害が緩和されます。
@echo off
REM すべてのマクロを有効にする(推奨しません)
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Excel\Security" /v "VBAWarnings" /t REG_DWORD /d "1" /f

REM マクロを実行したいExcelのファイルパス
"C:\Users\User_Name\Documents\abc.xlsm"

REM 警告を表示してすべてのマクロを無効にする
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Excel\Security" /v "VBAWarnings" /t REG_DWORD /d "2" /f
exit

トレーニング

従業員には、マクロが有効になっている端末がマルウェアの侵入口であることに、十分な理解を得てください。外部から、関係者を装った悪意のある添付ファイルをみだりに開かず、必ず保護ビュー(サンドボックスなどともいいます)で開き、マクロを実行しないように注意を呼び掛けてください。