TeamsやOneDriveでマルウェアを実行 キャッシュスマグリング攻撃に要注意:セキュリティニュースアラート
Orange CyberdefenseはMicrosoft TeamsとMicrosoft OneDriveに対するキャッシュスマグリング攻撃について警告した。このサイバー攻撃はWebブラウザのキャッシュを悪用してマルウェアを配布するとしている。
Orange Cyberdefenseは2025年3月24日(現地時間)、「Microsoft Teams」(以下、Teams)や「Microsoft OneDrive」(以下、OneDrive)を悪用するキャッシュスマグリング攻撃の脅威について警告した。
この手法はWebブラウザのキャッシュ機能を巧妙に悪用し、TeamsやOneDriveなどのアプリケーションにマルウェアを仕込む新たな攻撃ベクトルとされている。
TeamsやOneDriveでマルウェアを実行 キャッシュスマグリング攻撃の仕組み
通常、Webブラウザは画像やJavaScriptなどの静的ファイルをキャッシュに保存し、ページの読み込み速度を向上させる。攻撃者はこのキャッシュ機能を悪用し、不正なDLL(動的リンクライブラリー)ファイルを無害なファイルに偽装して配布する。
攻撃者は悪意のあるWebページを用意し、ユーザーがアクセスするとWebブラウザがペイロードを含むDLLをキャッシュする。次に被害者をだまして悪意のあるPowerShellスクリプトを実行させてキャッシュしたDLLを、TeamsやOneDriveのフォルダに移動する。これによってDLLがTeamsやOneDriveの起動時に読み込まれ、マルウェアが実行される。
この攻撃を防ぐためには以下の対策が推奨されている。
- スクリプトの実行制限: PowerShellやPythonなどのスクリプト言語の実行を制限し、不必要なユーザーには管理者権限を与えないようにする
- アプリケーションのインストール先を見直す: TeamsやOneDriveなどのツールを可能な限りLocalappdataにインストールしないようにする
- Webブラウザキャッシュの管理: Webブラウザのキャッシュを定期的にクリアするポリシーを適用する。例えば「Google Chrome」では「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ClearBrowsingDataOnExitList」のレジストリーキーを設定することでキャッシュや履歴をブラウザ終了時に削除できる
- 異常なプロセスの監視: 正規のWebブラウザ以外がキャッシュファイルにアクセスしていないかどうかを監視し、異常な挙動(例:PowerShellがGoogle Chromeのキャッシュを検索するなど)があれば即座にアラートを発するルールを設定する
Webブラウザキャッシュスマグリング攻撃は正規のブラウザキャッシュ機能を利用するため、従来のネットワークセキュリティ対策をすり抜ける可能性がある。企業や組織はスクリプトの実行制限やブラウザキャッシュの管理強化を通じ、この新たな攻撃手法への対策が求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
楽天証券の注意喚起から考える 情報を守るために“面倒だけど絶対やるべき対策”
楽天証券で保有していた株式が売却され、身に覚えのない海外株式を大量に購入されたという報告が相次いでいます。この原因はフィッシングやインフォスティーラーなど諸説ありますが、私たちはこの脅威を防ぐためにどう対策すればいいのでしょうか。
なぜ医療機関はランサム対策に乗り出せない? 地方病院が語る“根深い課題”
医療機関を標的にしたランサムウェア攻撃が激化している。これに対して多くの病院は危機感を覚えているが、そう簡単に対策を講じられないのは業界特有の“根深い問題”が関係している。地方病院の生々しいセキュリティ実態を明らかにしよう。
「C++」存続の危機? 生みの親が安全なプログラミング言語への転換を模索
C++の生みの親であるビャーネ・ストロヴストルップ氏はC++を安全にするためにコミュニティーの協力を呼びかけた。政府や企業は安全なプログラミング言語に移行しており、メモリ安全性の問題がC++の存続を脅かしている。
たったこれだけでマルウェアに感染? “古くて新しい”サイバー攻撃の手口
サイバー攻撃はこれまで見たこともなかった未知のものだけでなく、既に浸透している手法に少し手を加えてユーザーをだまそうとしています。今回は筆者が気になった古典的でありながら“新しい手口”を紹介します。