OneNoteがサイバー攻撃対策で120個の拡張子をブロック
MicrosoftはOneNoteを悪用したサイバー攻撃の増加を受け、特定拡張子のファイル処理方法を変更すると発表した。2023年4月のバージョン2304から適用され、特定の拡張子のファイル実行をブロックする。
Microsoftは2023年3月29日(現地時間)、「Microsoft OneNote」(以下、OneNote)を悪用したサイバー攻撃が増加していることを受け、特定の拡張子を持つファイルを処理する方法を変更すると発表した。影響を受けるのは「Windows」で動作する「OneNote for Microsoft 365」で、2023年4月のバージョン2304から反映される。
OneNoteがブロックする120個の拡張子は?
Microsoftがインターネットからダウンロードしてきた「Microsoft Office」ファイルにおけるマクロ実行をデフォルトでブロックするように挙動を変更して以降、サイバー攻撃者はOfficeマクロ以外の攻撃ベクトルを模索している。こうした動きの一つがOneNoteの悪用だ。
サイバー攻撃者は、OneNoteで複雑なテンプレートを作成する。テンプレートには「設計要素を『ダブルクリック』してファイルを表示するように」というメッセージが含まれており、ユーザーがボタンをダブルクリックするように仕向けている。
実際にはそのUIの下に実行可能ファイルが配置されている。ユーザーには警告ダイアログが表示されるものの、多くのユーザーがこうしたダイアログを無視して「OK」ボタンを押すことが知られており、防御の効果は薄いとみられている。
Microsoftはこうした動きを受け、そもそもこの手口でファイルを実行できないようにOneNoteから特定の拡張子のファイルの実行をブロックする挙動に変更すると伝えた。説明では以下120個の拡張子のファイルがブロックの対象となる。これらのファイルは「Microsoft Outlook」「Microsoft Word」「Microsoft Excel」「Microsoft PowerPoint」においても同様に実行がブロックされる。
- .ade:Access プロジェクト エクステンション(Microsoft)
- .adp:Access プロジェクト(Microsoft)
- .app:実行可能アプリケーション
- .application:ClickOnce 展開マニフェスト ファイル
- .appref-ms:ClickOnce アプリケーション参照ファイル
- .asp:Active Server Page
- .aspx:Active Server のページの拡張
- .asx:ASF リダイレクター ファイル
- .bas:BASIC ソース コード
- .bat:バッチ処理ファイル
- .bgi:ボーランド グラフィックス インターフェイス
- .cab:Windows キャビネット ファイル
- .cer:インターネット セキュリティ証明ファイル
- .chm:コンパイル済み HTML ヘルプ
- .cmd:DOS CP/M コマンド ファイル(Windows NT 用コマンド ファイル)
- .cnt:Microsoft Help Workshop アプリケーション
- .com:コマンド
- .cpl:Windows コントロール パネル(Microsoft)
- .crt:証明書ファイル
- .csh:csh スクリプト
- .der:DER 形式でエンコードされた X509 証明書ファイル
- .diagcab:Microsoft Diagnostics キャビネット ファイル
- .exe:実行可能ファイル
- .fxp:コンパイル済み FoxPro ソース(Microsoft)
- .gadget:Windows Vista ガジェット
- .grp:Microsoft プログラム グループ
- .hlp:Windows ヘルプ ファイル
- .hpj:AppWizard ヘルプ プロジェクト
- .hta:ハイパーテキスト アプリケーション
- .htc:HTML コンポーネント ファイル
- .inf:情報ファイルまたはセットアップ ファイル
- .ins:IIS インターネット通信設定(Microsoft)
- .iso:光ディスク メディア ファイル システム
- .isp:IIS インターネット サービス プロバイダー設定(Microsoft)
- .its:インターネット ドキュメント セット、インターネット翻訳
- .jar:Java アーカイブ
- .jnlp:Java ネットワーク起動プロトコル
- .js:JavaScript ソース コード
- .jse:JScript 符号化スクリプト ファイル
- .ksh:UNIX シェル スクリプト
- .lnk:Windows ショートカット ファイル
- .mad:Access モジュール ショートカット(Microsoft)
- .maf:Access(Microsoft)
- .mag:Access ダイアグラム ショートカット(Microsoft)
- .mam:Access マクロ ショートカット(Microsoft)
- .maq:Access クエリ ショートカット(Microsoft)
- .mar:Access レポート ショートカット(Microsoft)
- .mas:Access ストアド プロシージャ(Microsoft)
- .mat:Access テーブル ショートカット(Microsoft)
- .mau:Media Attachment Unit
- .mav:Access ビュー ショートカット(Microsoft)
- .maw:Access データ アクセス ページ(Microsoft)
- .mcf:メディア コンテナ形式
- .mda:Access アドイン(Microsoft)、MDA Access 2 ワークグループ(Microsoft)
- .mdb:Access アプリケーション(Microsoft)、MDB Access データベース(Microsoft)
- .mde:Access MDE データベース ファイル(Microsoft)
- .mdt:Access アドイン データ(Microsoft)
- .mdw:Access ワークグループ情報(Microsoft)
- .mdz:Access ウィザード テンプレート(Microsoft)
- .msc:Microsoft Management Console スナップイン コントロール ファイル(Microsoft)
- .msh:Microsoft シェル
- .msh1:Microsoft シェル
- .msh2:Microsoft シェル
- .mshxml:Microsoft シェル
- .msh1xml:Microsoft シェル
- .msh2xml:Microsoft シェル
- .msi:Windows インストーラー ファイル(Microsoft)
- .msp:Windows インストーラー更新プログラム
- .mst:Windows SDK セットアップ トランスフォーム スクリプト
- .msu:Windows Update ファイル
- .ops:Office プロファイル設定ファイル
- .osd:オープン ソフトウェアの説明
- .pcd:Visual Test(Microsoft)
- .pif:Windows プログラム情報ファイル(Microsoft)
- .pl:Perl スクリプト
- .plg:Developer Studio ビルド ログ
- .prf:Windows システム ファイル
- .prg:プログラム ファイル
- .printerexport:プリンタ バックアップ ファイル
- .ps1:Windows PowerShell
- .ps1xml:Windows PowerShell
- .ps2:Windows PowerShell
- .ps2xml:Windows PowerShell
- .psc1:Windows PowerShell
- .psc2:Windows PowerShell
- .psd1:Windows PowerShell
- .psdm1:Windows PowerShell
- .pst:MS Exchange アドレス帳ファイル、Outlook 個人用フォルダー ファイル(Microsoft)
- .py:Python スクリプト
- .pyc:Python スクリプト
- .pyo:Python スクリプト
- .pyw:Python スクリプト
- .pyz:Python スクリプト
- .pyzw:Python スクリプト
- .reg:Windows 95/98 用レジストリ情報/レジストリ キー、レジストリ データ ファイル
- .scf:エクスプローラー コマンド
- .scr:Windows スクリーン セーバー
- .sct:Windows スクリプト コンポーネント、Foxpro スクリーン(Microsoft)
- .shb:ドキュメントへの Windows ショートカット
- .shs:シェル スクラップ オブジェクト ファイル
- .theme:デスクトップ テーマ ファイルの設定
- .tmp:テンポラリ ファイル/フォルダ
- .url:インターネットの場所
- .vb:VBScript ファイルまたは全ての Visual Basic ソース
- .vbe:VBScript エンコードされたスクリプト ファイル
- .vbp:Visual Basic プロジェクト ファイル
- .vbs:VBScript スクリプト ファイル、Visual Basic for Applications スクリプト
- .vhd:仮想ハード ディスク
- .vhdx:仮想ハード ディスクの拡張
- .vsmacros:Visual Studio .NET バイナリベース マクロ プロジェクト(Microsoft)
- .vsw:Visio ワークスペース ファイル(Microsoft)
- .webpnpインターネット印刷ファイル
- .website:Internet Explorer からピン留めされたサイトへのショートカット
- .ws:Windows スクリプト ファイル
- .wsc:Windows スクリプト コンポーネント
- .wsf:Windows スクリプト ファイル
- .wsh:Windows スクリプト ホスト設定ファイル
- .xbap:ブラウザ アプリケーション
- .xll:Excel アドイン
- .xnk:Exchange パブリック フォルダ ショートカット
ファイルを信頼し実行する必要がある場合は、一度ファイルをローカルデバイスに保存し、そこからファイルを開けばよいとされている。またこの変更は「macOS」版のOnteNoteや「Android」「iOS」版のOneNoteおよび「OneNote on the web」「OneNote for Windows 10」などには適用されない。
関連記事
- OneNoteが新たなマルウェア感染経路に 具体的な手口と対処法
Microsoft OneNoteを悪用したサイバー攻撃が発見された。VBAマクロに変わる新たなマルウェア感染の侵入経路としてサイバー攻撃者の間で悪用が進んでいるものとみられる。 - OneNoteにマルウェア対策の新機能も、コンピュータ情報サイトが不十分だと指摘
MicrosoftはOneNoteがマルウェア攻撃に悪用されている事態を受けてセキュリティ機能の強化を発表した。しかしコンピュータ情報サイトは今回の機能強化を不十分と指摘している。 - EmotetがOneNoteを悪用して感染拡大中 人の脆弱性を狙ったその手口は?
Microsoft OneNoteファイルをマルウェア感染経路に悪用するケースが増加している。悪名高いマルウェア「Emotet」がこの手法を採用していることが明らかになった。具体的な手法と推奨されるセキュリティ対策は。 - セキュリティ版ChatGPT? MSが専門家支援を目的とした「Security Copilot」を発表
Microsoftはセキュリティ専門家のサポートを目的としたAI技術を活用した新しいサービス「Microsoft Security Copilot」を発表した。これまで数時間から数日かかっていた調査期間が数分といった単位まで短縮できる可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.