Microsoft OneNote

マイクロソフトは、マルウェアをプッシュする継続的なフィッシング攻撃からユーザーを守るために、OneNote がまもなくブロックする悪意のある埋め込みファイルに関する詳細情報を共有しました。

同社は、3 週間前の 3 月 10 日に公開された Microsoft 365 ロードマップ エントリで、OneNote のセキュリティが強化されることを最初に明らかにしました。これは、マルウェアをプッシュする最近および継続的なフィッシング攻撃の波を受けてのことです。

攻撃者は、2022 年 12 月中旬以降、スピア フィッシング キャンペーンで OneNote ドキュメントを使用してきました。これは、Microsoft が、ISO および ZIP ファイルを介してマルウェアを投下するためにエクスプロイトされた MoTW バイパスのゼロデイ パッチを適用し、最終的にデフォルトで Word および Excel マクロを無効にした後です。

攻撃者は、以下に示すように、危険なファイルやスクリプトを埋め込んで設計要素で隠すことにより、悪意のある Microsoft OneNote ドキュメントを作成します。

埋め込みファイルを隠している OneNote フィッシング ドキュメント
埋め込まれたファイルを隠している OneNote フィッシング ドキュメント ()

危険と見なされるファイルの種類

今日、同社は、新しい OneNote のセキュリティ強化が展開されたときにブロックされる特定のファイル拡張子に関する詳細を共有しました。

Microsoft は、OneNote で危険と見なされてブロックされたファイルを、Outlook、Word、Excel、および PowerPoint でブロックされたファイルと調整すると述べています。

完全なリストには、このMicrosoft 365 サポート ドキュメントに従って 120 の拡張機能が含まれています。

.ade, .adp, .app, .application, .appref-ms, .asp, .aspx, .asx, .bas, .bat, .bgi, .cab, .cer, .chm, .cmd, .cnt, .com, .cpl, .crt, .csh, .der, .diagcab, .exe, .fxp, .gadget, .grp, .hlp, .hpj, .hta, .htc, .inf, .ins, .iso, .isp, .its, .jar, .jnlp, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml, .msi, .msp, .mst, .msu, .ops, .osd, .pcd, .pif, .pl, .plg, .prf, .prg, .printerexport, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psdm1, .pst, .py, .pyc, .pyo, .pyw, .pyz, .pyzw, .reg, .scf, .scr, .sct, .shb, .shs, .theme, .tmp, .url, .vb, .vbe, .vbp, .vbs, .vhd, .vhdx, .vsmacros, .vsw, .webpnp, .website, .ws, .wsc, .wsf, .wsh, .xbap, .xll, .xnk

以前、OneNote は、添付ファイルを開くとデータに損害を与える可能性があることをユーザーに警告しましたが、危険としてタグ付けされた埋め込みファイルを開くことは引き続き許可されていましたが、セキュリティの改善が展開された後、ユーザーは危険な拡張子を持つファイルを開くことはできなくなります。

ファイルがブロックされると、「管理者が OneNote でこのファイルの種類を開く機能をブロックしました」という警告ダイアログがユーザーに表示されます。

Microsoft OneNote ブロックの警告
OneNote の警告 (Microsoft)

Microsoft によると、この変更は、2023 年 4 月下旬から 2023 年 5 月下旬の間に、Windows デバイス上の OneNote for Microsoft 365 への現在のチャネル (プレビュー) のバージョン 2304 でロールアウトを開始する予定です。

セキュリティの向上は、Office 2021、Office 2019、および Office 2016 (現在のチャネル) の製品版でも利用できますが、Office Standard 2019 や Office LTSC Professional Plus 2021 などの Office のボリューム ライセンス バージョンでは利用できません。

ただし、Web 上の OneNote、Windows 10 の OneNote、Mac 上の OneNote、Android または iOS デバイス上の OneNote では使用できません。

チャンネルを更新する バージョン 発売日
現在のチャンネル (プレビュー) バージョン 2304 2023年4月前半
現在のチャンネル バージョン 2304 2023年4月後半
月次エンタープライズ チャネル バージョン 2304 2023 年 6 月 13 日
半期エンタープライズ チャネル (プレビュー) バージョン 2308 2023 年 9 月 12 日
半期エンタープライズ チャネル バージョン 2308 2024 年 1 月 9 日

ブロックされた拡張機能の管理

危険と思われる追加のファイル拡張子をブロックするには、[ユーザーの構成][ポリシー][管理用テンプレート][Microsoft Office 2016][セキュリティ設定] にある [OLE 埋め込み用に追加のファイル拡張子をブロックする] ポリシーを有効にし、ブロックする拡張子を選択します。

一方、すぐに既定でブロックされる特定のファイル拡張子を許可する必要がある場合は、グループ ポリシー管理コンソールの同じ場所から [OLE 埋め込みのファイル拡張子を許可する] ポリシーをオンにして、どの拡張子を許可するかを指定できます。許可したい。

Microsoft 365 のクラウド ポリシー サービスを使用して、好みに合わせてポリシーを調整することもできます。行ったすべての変更は、Word、Excel、PowerPoint などの他のアプリケーションにも影響します。

これらのポリシーは、Microsoft Apps for Business では利用できないため、エンタープライズ ユーザー向けの Microsoft 365 アプリでのみ利用できます。

Microsoft Office グループ ポリシーを使用して、新しいセキュリティ強化が展開されるまで、OneNote の埋め込みファイルの添付ファイルの起動を制限することもできます