OneNoteがサイバー攻撃対策で120個の拡張子をブロック

MicrosoftはOneNoteを悪用したサイバー攻撃の増加を受け、特定拡張子のファイル処理方法を変更すると発表した。2023年4月のバージョン2304から適用され、特定の拡張子のファイル実行をブロックする。

[後藤大地，有限会社オングス]

　Microsoftは2023年3月29日（現地時間）、「Microsoft OneNote」（以下、OneNote）を悪用したサイバー攻撃が増加していることを受け、特定の拡張子を持つファイルを処理する方法を変更すると発表した。影響を受けるのは「Windows」で動作する「OneNote for Microsoft 365」で、2023年4月のバージョン2304から反映される。

MicrosoftはOneNoteを悪用するサイバー攻撃に対処するため特定拡張子のファイル実行をブロックする（出典：MicrosoftのWebサイト）

OneNoteがブロックする120個の拡張子は？

　Microsoftがインターネットからダウンロードしてきた「Microsoft Office」ファイルにおけるマクロ実行をデフォルトでブロックするように挙動を変更して以降、サイバー攻撃者はOfficeマクロ以外の攻撃ベクトルを模索している。こうした動きの一つがOneNoteの悪用だ。

　サイバー攻撃者は、OneNoteで複雑なテンプレートを作成する。テンプレートには「設計要素を『ダブルクリック』してファイルを表示するように」というメッセージが含まれており、ユーザーがボタンをダブルクリックするように仕向けている。

　実際にはそのUIの下に実行可能ファイルが配置されている。ユーザーには警告ダイアログが表示されるものの、多くのユーザーがこうしたダイアログを無視して「OK」ボタンを押すことが知られており、防御の効果は薄いとみられている。

　Microsoftはこうした動きを受け、そもそもこの手口でファイルを実行できないようにOneNoteから特定の拡張子のファイルの実行をブロックする挙動に変更すると伝えた。説明では以下120個の拡張子のファイルがブロックの対象となる。これらのファイルは「Microsoft Outlook」「Microsoft Word」「Microsoft Excel」「Microsoft PowerPoint」においても同様に実行がブロックされる。

• .ade：Access プロジェクト エクステンション（Microsoft）
• .adp：Access プロジェクト（Microsoft）
• .app：実行可能アプリケーション
• .application：ClickOnce 展開マニフェスト ファイル
• .appref-ms：ClickOnce アプリケーション参照ファイル
• .asp：Active Server Page
• .aspx：Active Server のページの拡張
• .asx：ASF リダイレクター ファイル
• .bas：BASIC ソース コード
• .bat：バッチ処理ファイル
• .bgi：ボーランド グラフィックス インターフェイス
• .cab：Windows キャビネット ファイル
• .cer：インターネット セキュリティ証明ファイル
• .chm：コンパイル済み HTML ヘルプ
• .cmd：DOS CP/M コマンド ファイル（Windows NT 用コマンド ファイル）
• .cnt：Microsoft Help Workshop アプリケーション
• .com：コマンド
• .cpl：Windows コントロール パネル（Microsoft）
• .crt：証明書ファイル
• .csh：csh スクリプト
• .der：DER 形式でエンコードされた X509 証明書ファイル
• .diagcab：Microsoft Diagnostics キャビネット ファイル
• .exe：実行可能ファイル
• .fxp：コンパイル済み FoxPro ソース（Microsoft）
• .gadget：Windows Vista ガジェット
• .grp：Microsoft プログラム グループ
• .hlp：Windows ヘルプ ファイル
• .hpj：AppWizard ヘルプ プロジェクト
• .hta：ハイパーテキスト アプリケーション
• .htc：HTML コンポーネント ファイル
• .inf：情報ファイルまたはセットアップ ファイル
• .ins：IIS インターネット通信設定（Microsoft）
• .iso：光ディスク メディア ファイル システム
• .isp：IIS インターネット サービス プロバイダー設定（Microsoft）
• .its：インターネット ドキュメント セット、インターネット翻訳
• .jar：Java アーカイブ
• .jnlp：Java ネットワーク起動プロトコル
• .js：JavaScript ソース コード
• .jse：JScript 符号化スクリプト ファイル
• .ksh：UNIX シェル スクリプト
• .lnk：Windows ショートカット ファイル
• .mad：Access モジュール ショートカット（Microsoft）
• .maf：Access（Microsoft）
• .mag：Access ダイアグラム ショートカット（Microsoft）
• .mam：Access マクロ ショートカット（Microsoft）
• .maq：Access クエリ ショートカット（Microsoft）
• .mar：Access レポート ショートカット（Microsoft）
• .mas：Access ストアド プロシージャ（Microsoft）
• .mat：Access テーブル ショートカット（Microsoft）
• .mau：Media Attachment Unit
• .mav：Access ビュー ショートカット（Microsoft）
• .maw：Access データ アクセス ページ（Microsoft）
• .mcf：メディア コンテナ形式
• .mda：Access アドイン（Microsoft）、MDA Access 2 ワークグループ（Microsoft）
• .mdb：Access アプリケーション（Microsoft）、MDB Access データベース（Microsoft）
• .mde：Access MDE データベース ファイル（Microsoft）
• .mdt：Access アドイン データ（Microsoft）
• .mdw：Access ワークグループ情報（Microsoft）
• .mdz：Access ウィザード テンプレート（Microsoft）
• .msc：Microsoft Management Console スナップイン コントロール ファイル（Microsoft）
• .msh：Microsoft シェル
• .msh1：Microsoft シェル
• .msh2：Microsoft シェル
• .mshxml：Microsoft シェル
• .msh1xml：Microsoft シェル
• .msh2xml：Microsoft シェル
• .msi：Windows インストーラー ファイル（Microsoft）
• .msp：Windows インストーラー更新プログラム
• .mst：Windows SDK セットアップ トランスフォーム スクリプト
• .msu：Windows Update ファイル
• .ops：Office プロファイル設定ファイル
• .osd：オープン ソフトウェアの説明
• .pcd：Visual Test（Microsoft）
• .pif：Windows プログラム情報ファイル（Microsoft）
• .pl：Perl スクリプト
• .plg：Developer Studio ビルド ログ
• .prf：Windows システム ファイル
• .prg：プログラム ファイル
• .printerexport：プリンタ バックアップ ファイル
• .ps1：Windows PowerShell
• .ps1xml：Windows PowerShell
• .ps2：Windows PowerShell
• .ps2xml：Windows PowerShell
• .psc1：Windows PowerShell
• .psc2：Windows PowerShell
• .psd1：Windows PowerShell
• .psdm1：Windows PowerShell
• .pst：MS Exchange アドレス帳ファイル、Outlook 個人用フォルダー ファイル（Microsoft）
• .py：Python スクリプト
• .pyc：Python スクリプト
• .pyo：Python スクリプト
• .pyw：Python スクリプト
• .pyz：Python スクリプト
• .pyzw：Python スクリプト
• .reg：Windows 95/98 用レジストリ情報/レジストリ キー、レジストリ データ ファイル
• .scf：エクスプローラー コマンド
• .scr：Windows スクリーン セーバー
• .sct：Windows スクリプト コンポーネント、Foxpro スクリーン（Microsoft）
• .shb：ドキュメントへの Windows ショートカット
• .shs：シェル スクラップ オブジェクト ファイル
• .theme：デスクトップ テーマ ファイルの設定
• .tmp：テンポラリ ファイル/フォルダ
• .url：インターネットの場所
• .vb：VBScript ファイルまたは全ての Visual Basic ソース
• .vbe：VBScript エンコードされたスクリプト ファイル
• .vbp：Visual Basic プロジェクト ファイル
• .vbs：VBScript スクリプト ファイル、Visual Basic for Applications スクリプト
• .vhd：仮想ハード ディスク
• .vhdx：仮想ハード ディスクの拡張
• .vsmacros：Visual Studio .NET バイナリベース マクロ プロジェクト（Microsoft）
• .vsw：Visio ワークスペース ファイル（Microsoft）
• .webpnpインターネット印刷ファイル
• .website：Internet Explorer からピン留めされたサイトへのショートカット
• .ws：Windows スクリプト ファイル
• .wsc：Windows スクリプト コンポーネント
• .wsf：Windows スクリプト ファイル
• .wsh：Windows スクリプト ホスト設定ファイル
• .xbap：ブラウザ アプリケーション
• .xll：Excel アドイン
• .xnk：Exchange パブリック フォルダ ショートカット

　ファイルを信頼し実行する必要がある場合は、一度ファイルをローカルデバイスに保存し、そこからファイルを開けばよいとされている。またこの変更は「macOS」版のOnteNoteや「Android」「iOS」版のOneNoteおよび「OneNote on the web」「OneNote for Windows 10」などには適用されない。