OneNoteが新たなマルウェア感染経路に 具体的な手口と対処法

Microsoft OneNoteを悪用したサイバー攻撃が発見された。VBAマクロに変わる新たなマルウェア感染の侵入経路としてサイバー攻撃者の間で悪用が進んでいるものとみられる。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「Bleeping Computer」は2023年3月5日（現地時間）、サイバー攻撃者がマルウェアの感染経路にデジタルノートアプリケーション「Microsoft OneNote」（以下、OneNote）を悪用していると指摘した。

　同情報サイトでは、OneNoteを悪用した新たな感染経路の詳細とこれを防ぐための方法を解説している。

Bleeping Computerはサイバー攻撃者がOneNoteをマルウェア感染に利用していると指摘した（出典：Bleeping ComputerのWebサイト）

具体的なOneNoteの悪用方法を解説　脅威をブロックするには

　最近までサイバー攻撃者間では、「Microsoft Office」ドキュメントのマクロ機能を悪用することでマルウェア感染させる手口が主流だった。しかしMicrosoftが、インターネット経由でダウンロードしたOfficeドキュメントのマクロをデフォルトで無効化するように変更したことで状況は大きく変わった。サイバー攻撃者はこれまでの手法が効果的ではなくなったため、他の攻撃ベクトルを模索するようになった。

　サイバー攻撃者が次に悪用したのはISOイメージファイルだ。「Windows」にはインターネットからダウンロードされたファイルに「MoTW」（Mark-of-the-Web）と呼ばれる属性を与えるセキュリティ機能が備わっており、これによってインターネットからダウンロードされたファイルかどうかを判別できる。だが、ISOイメージファイルは、インターネットからダウンロードされたものであってもMoTW警告フラグが付かなかったこともあり、マルウェア感染経路として悪用されていた。

　しかしこの挙動に対してもMicrosoftやサードパーティーのベンダーが対応したことで、サイバー攻撃者は次の感染経路を模索するようになった。そして2022年12月以降に悪用されるようになったのがOneNoteだ。

　Bleeping Computerによると、サイバー攻撃者はOneNoteで、保護されたドキュメントのように見える複雑なテンプレートを作成する。同テンプレートは「設計要素を『ダブルクリック』してファイルを表示するように」というメッセージを含んでおり、ユーザーがボタンをダブルクリックするように仕向けている。

悪意のあるOneNoteの添付ファイル（出典：Bleeping ComputerのWebサイト）

　このボタンは一見すると何らかの機能を実行するように見えるが、実際には埋め込まれたファイルが実行されることで、これまでと同様にマルウェアへの感染が試みられることになる。

　Bleeping Computerはこうしたサイバー攻撃を回避する方法として、OneNoteの拡張子である「.one」のファイルをセキュリティ保護されたメールゲートウェイやメールサーバでブロックすること、それができない場合はMicrosoft Officeグループポリシーを使ってOneNoteファイルに埋め込まれたファイルの起動を制限する方法を推奨している。

　同情報サイトによると、ファイルタイプをブロックすることは完璧な解決策だとは言えないが、一定の効果はあるとして強く推奨している。