Microsoftが「ExcelやWordなどのOfficeファイルのマクロを無効にする」仕様をユーザーに知らせないまま撤回していた

Microsoftは2022年2月、ビジネス用ソフトウェアのMicrosoft Officeのファイルをインターネットからダウンロードした場合、Visual Basic for Applications(VBA)で作成したマクロをデフォルトでブロックする仕様に変更すると発表しました。この決定はユーザーのセキュリティを保護するために行われたものでしたが、実際にVBAマクロがデフォルトでブロックされるようになった後、Microsoftがユーザーに知らせないままこの仕様を撤回し、VBAマクロが有効にされていたことが判明しました。

Helping users stay safe: Blocking internet macros by default in Office - Page 2 - Microsoft Tech Community
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/

Microsoft rolls back decision to block Office macros by default
https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-back-decision-to-block-office-macros-by-default/

Microsoft rollback has begun on blocking Office macros - Protocol
https://www.protocol.com/bulletins/microsoft-office-macros-rollback-security

Microsoftが開発・販売するビジネス用ソフトウェアのMicrosoft Officeでは、VBAというプログラミング言語で作成したマクロを実行し、ExcelやAccessなどのソフトウェアで行うさまざまな作業を自動化することができます。しかし、インターネットからダウンロードしたOfficeファイルに悪意のあるVBAマクロが仕込まれていた場合、マクロの実行と共に端末へマルウェアがインストールされるといったセキュリティ上の懸念があるとのこと。

そこでMicrosoftは2022年2月、Access・Excel・PowerPoint・Visio・Wordの5つのソフトウェアで、インターネットからダウンロードしたOfficeファイルに含まれるVBAマクロをデフォルトでブロックすることを発表しました。この変更は2022年4月にリリースされたバージョン2203から最新チャネルで展開されました。

ExcelやWordなどのOfficeファイルのマクロをデフォルトで無効にするとMicrosoftが発表 - GIGAZINE

以下の画像が、ダウンロードしたVBAマクロを含むOfficeファイルを開いた時にかつて表示されていた警告(上)と、新たに表示されるようになった警告(下)を比較したもの。古いバージョンでは「Enable Content」をクリックするだけでマクロが有効になりますが、新たなバージョンでは「Learn More」をクリックしてマクロの危険性と有効化の手順を説明するページを開き、どうしてもマクロを有効にしたい場合のみ手順に従って有効化する必要があります。

Microsoftの変更はユーザーセキュリティを大幅に向上させるとして、セキュリティの専門家たちからも強い期待を寄せられていました。ところが2022年7月6日、あるWindowsユーザーが「マクロが完全にブロックされているというピンク色ないし赤色のメッセージが表示される代わりに、古い『セキュリティ警告……』のメッセージが表示されました」「ごく最近、何かがこの新しいデフォルトの動作を元に戻したように感じます……Microsoft Defenderがブロックを阻害しているのでしょうか？」と公式フォーラムに投稿しました。

ユーザーはMicrosoft Defenderの影響を疑っていましたが、これにMicrosoftのアンジェラ・ロバートソン氏は、「受け取ったフィードバックに基づいてロールバックが開始されました。ロールバックに関する更新が進行中です。変更に関する更新が行われる前にロールバックが開始され、ご迷惑をおかけしたことをおわびします」と返答。Microsoft自らが仕様を元に戻していることが明らかになっています。

告知なしのロールバックについては、ユーザーからMicrosoftのコミュニケーション不足に対する不満の声が上がっており、ロールバックに関する詳細情報を他の場所で共有するように依頼するコメントも寄せられています。

Microsoftは7月8日の更新で、「私たちはユーザーからのフィードバックを受けてこの仕様を一時的にロールバックし、ユーザービリティを向上させるためにいくつか追加の変更を加えました。これは一時的な変更であり、すべてのユーザーに対してデフォルトの変更を行うために全力を尽くしています」「既定の設定に関係なく、顧客はこの資料で説明するグループポリシー設定を使用して、インターネットのマクロをブロックできます」「今後数週間のうちに、タイムラインに関する追加の詳細を提供します」と説明しています。なお、具体的にどのような「フィードバック」が今回の決定に影響しているのかは不明です。

今回のロールバックについては、セキュリティ専門家から否定的な意見が寄せられています。セキュリティ専門家のマーカス・ハッチンズ氏は、「どうやらMicrosoftは(セキュリティを弱めるロールバックを行うことで)、私たちセキュリティ専門家の仕事を守ってくれているようです」とコメントしました。