Microsoft は、悪意のある Microsoft OneNote ファイルを介してマルウェアをプッシュするフィッシング攻撃に対する改善された保護を導入します。
本日公開された新しい Microsoft 365 ロードマップ エントリで、「Microsoft OneNote : 既知の高リスク フィッシング ファイル タイプに対する保護の強化」というタイトルで、同社は、この変更が 2023 年 4 月末までに一般提供される可能性が高いことを明らかにしました。
「ユーザーが OneNote に埋め込まれたファイルを開いたりダウンロードしたりするときに、強化された保護を追加します」と Redmond 氏は説明します。
「Windows 上の OneNote でのファイル保護エクスペリエンスを向上させるために、ファイルが危険であると判断された場合、ユーザーは通知を受け取ります。」
これは、脅威アクターが「.one」ファイル拡張子を持つ悪意を持って作成された OneNote ドキュメントとオーバーレイの背後に隠された埋め込みファイルを使用して、ターゲットにクリックしてドキュメントを表示するよう求める、最近のフィッシング攻撃の波に続くものです。
ダブルクリックすると埋め込みファイルが起動します。これは無害に見えるかもしれませんが、重大な結果をもたらす可能性があります。
悲しいことに、セキュリティ警告を受け取った場合でも、ユーザーは警告を無視してファイルの実行を許可することが多く、企業ネットワーク全体が危険にさらされる可能性があります。
これは、Microsoft Office マクロを利用した以前のフィッシング攻撃から誰もが学んだはずの教訓です。
残念ながら、1 人のユーザーが誤って悪意のあるファイルを実行して、情報を盗むマルウェアに感染したり、さらに悪いことに、ランサムウェア攻撃を引き起こしたりすることはありません。
悪意のある Microsoft OneNote 添付ファイルを使用したフィッシング攻撃を阻止するために、安全なメール ゲートウェイまたはメール サーバーを設定して、拡張子が .one の OneNote ドキュメントを自動的にブロックすることができます。
Windows 管理者は、Microsoft Office グループ ポリシーを使用して、埋め込まれた OneNote ファイルが起動しないようにすることもできます。
これを行うには、 Microsoft 365/Microsoft Office グループ ポリシー テンプレートをインストールし、「埋め込みファイルを無効にする」および「埋め込みファイルのブロックされた拡張子」Microsoft OneNote ポリシーを有効にする必要があります。
Trustwace が今週初めに報告したように、攻撃者は2022 年 12 月中旬以降、スピア フィッシング キャンペーンで OneNote ドキュメントを使用しています。
情報スティーラーなどのマルウェアペイロードのダウンロードやインストールなど、さまざまな悪意のある目的で OneNote ファイルを悪用する攻撃者が発見されています。
OneNote への切り替えは、Microsoft が最終的にWord および Excel マクロをデフォルトで無効にし、ISO および ZIP ファイルを介してマルウェアを配信するために使用されるMoTW バイパス ゼロデイにパッチを適用した後に行われました。
Comments