マクロレス攻撃の台頭とOneNoteの罠
2023年3月、Microsoft OneNote形式(.one)ファイルを悪用したマルウェア配布が急増しました。かつて攻撃の主流であったOfficeマクロ(VBA)が、Microsoftによってデフォルトでブロックされるようになった結果、攻撃者は「マクロを使わない手法」へとシフトしました。その象徴的な標的がOneNoteです。
この攻撃の巧妙な点は、OneNote自体が「メモ帳」という極めて日常的で無害なツールであるという点にあります。攻撃者はメールに添付されたOneNoteファイル内に、偽の「ダブルクリックして詳細を確認」といったボタンを配置し、その裏側に悪意のあるスクリプトを仕込みます。ユーザーがボタンをクリックすると、警告画面が表示されるものの、多くのユーザーはそれを「アプリの仕様」と誤認して承認してしまい、結果としてEmotetやQakbotといった脅威が侵入することになります。
実務現場で直面した「見えない脅威」
私が関与したインシデント事例では、標的型メールの文面に「請求書」や「配送通知」を模した内容が記載されていました。特筆すべきは、OneNoteファイルが「正規の業務ツールとして認識されている」ため、エンドポイントセキュリティ製品の検知をすり抜けるケースが散見されたことです。
特に危険なのは、OneNoteが外部からスクリプトを実行する際の挙動を、OSが「ユーザーの意図した操作」として処理してしまう点です。セキュリティ担当者は、従来の「マクロ無効化」といった対策だけでは不十分であることを再認識しなければなりません。
今すぐ取り組むべき多層防御の強化
この事態を受け、実務として優先すべき対策は以下の3点です。
第一に、グループポリシーによる実行制御です。組織全体でOneNoteを使用しない部門がある場合、あるいは特定の環境下では、Microsoftが提供しているグループポリシー設定を利用して、OneNoteによる埋め込みファイルの実行を無効化することを強く推奨します。
第二に、メールゲートウェイのフィルタリング強化です。OneNoteファイル(.one)を添付ファイルとして受信した際、自動的に隔離、もしくは拡張子を変換して配信するポリシーを適用してください。業務上の必要性がない限り、メール経由での直接的な受け渡しを制限すべきです。
第三に、EDRによる挙動監視のチューニングです。「OneNoteがコマンドプロンプトやPowerShellを呼び出す」という動きは、正常な業務フローではまず発生しません。このプロセスツリーを異常として即座に検知し、自動隔離を行うルールをEDRに設定しておくことが、攻撃を受けた際の被害を最小化する最後の砦となります。
セキュリティは「慣れ」との戦い
攻撃者は常に、私たちが「便利で安全」だと信じている隙間を狙ってきます。OneNoteのようなツールが攻撃の踏み台になることは、DXが進む現代において驚くことではありません。重要なのは、技術的な対策はもちろんのこと、従業員に対し「見慣れたアプリであっても、クリックひとつでシステムが侵害される」というリアリティを伝え続けることです。
防御側は、新しい攻撃手法が出現するたびに「なぜそれが防げなかったのか」という問いを繰り返す必要があります。今回のOneNoteの事例は、ツール単体の脆弱性ではなく、ツールの「機能」そのものが悪用される時代になったことを示す、重要な転換点であると捉えてください。
コメント