TeamsやOneDriveでマルウェアを実行 キャッシュスマグリング攻撃に要注意：セキュリティニュースアラート

Orange CyberdefenseはMicrosoft TeamsとMicrosoft OneDriveに対するキャッシュスマグリング攻撃について警告した。このサイバー攻撃はWebブラウザのキャッシュを悪用してマルウェアを配布するとしている。

[後藤大地，有限会社オングス]

　Orange Cyberdefenseは2025年3月24日（現地時間）、「Microsoft Teams」（以下、Teams）や「Microsoft OneDrive」（以下、OneDrive）を悪用するキャッシュスマグリング攻撃の脅威について警告した。

　この手法はWebブラウザのキャッシュ機能を巧妙に悪用し、TeamsやOneDriveなどのアプリケーションにマルウェアを仕込む新たな攻撃ベクトルとされている。

TeamsやOneDriveでマルウェアを実行　キャッシュスマグリング攻撃の仕組み

　通常、Webブラウザは画像やJavaScriptなどの静的ファイルをキャッシュに保存し、ページの読み込み速度を向上させる。攻撃者はこのキャッシュ機能を悪用し、不正なDLL（動的リンクライブラリー）ファイルを無害なファイルに偽装して配布する。

　攻撃者は悪意のあるWebページを用意し、ユーザーがアクセスするとWebブラウザがペイロードを含むDLLをキャッシュする。次に被害者をだまして悪意のあるPowerShellスクリプトを実行させてキャッシュしたDLLを、TeamsやOneDriveのフォルダに移動する。これによってDLLがTeamsやOneDriveの起動時に読み込まれ、マルウェアが実行される。

　この攻撃を防ぐためには以下の対策が推奨されている。

• スクリプトの実行制限：　PowerShellやPythonなどのスクリプト言語の実行を制限し、不必要なユーザーには管理者権限を与えないようにする
• アプリケーションのインストール先を見直す：　TeamsやOneDriveなどのツールを可能な限りLocalappdataにインストールしないようにする
• Webブラウザキャッシュの管理：　Webブラウザのキャッシュを定期的にクリアするポリシーを適用する。例えば「Google Chrome」では「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ClearBrowsingDataOnExitList」のレジストリーキーを設定することでキャッシュや履歴をブラウザ終了時に削除できる
• 異常なプロセスの監視：　正規のWebブラウザ以外がキャッシュファイルにアクセスしていないかどうかを監視し、異常な挙動（例：PowerShellがGoogle Chromeのキャッシュを検索するなど）があれば即座にアラートを発するルールを設定する

　Webブラウザキャッシュスマグリング攻撃は正規のブラウザキャッシュ機能を利用するため、従来のネットワークセキュリティ対策をすり抜ける可能性がある。企業や組織はスクリプトの実行制限やブラウザキャッシュの管理強化を通じ、この新たな攻撃手法への対策が求められている。