次はOneNoteです
マルウェアを届ける方法は次々に対策が進んでいきます。
しかしある攻撃方法に対策がされると別の配布方法が考えだされ、またマルウェアの蔓延が起こります。
どんな配布方法があるでしょうか。
- メールにオフィス文書を添付
みなさんがよく把握している手法です。
巧みなサブジェクトや本文で、最終的に添付ファイルを開かせます。
Mark of the Webのセキュリティ機能の実装もありましたし、現在ではMicrosoftのオフィス文書では標準でマクロが無効な状態となりましたので、この方法の脅威の度合いは低くなりました。 - zipファイルで配布
パスワードをつけたzipファイルであれば、機械的に内容を検査することができません。
この特長を悪用し、zipファイルでのマルウェアの配布が広がりました。
こちらもいまではこういった脅威の配布形式があるということが広く知られるようになり、多くの環境で対策が取られるようになってきています。 - isoファイルでの配布
isoで配布する形式も出てきました。
ファイルサイズを大きくできれば検査を免れることもあるでしょう。
isoの中のファイルにはMark of the Webのセキュリティ機能が作用しない、なんていう制約もありました。
こちらも時間とともに対策が取られ、セキュリティ機能も作用するようになりました。
新しい方法はどんどんでてきますが、どんどん対策されていきます。
しかしさらに新しい手法がでてきています。
OneNoteの添付ファイルで配布する形式、です。
OneNoteはMicrosoftのデジタルノートアプリです。
高機能で情報共有などにも利用できるメモアプリです。
これを悪用する手法が出てきています。
どんな流れでしょうか。
- 添付ファイルの付いたメールが届く
これまでの攻撃手法とこの部分は類似性が高いです。
開きたくなる内容のメールに仕上げて届けられます。
そのメールを読むと添付ファイルを開きたくなります。 - 添付ファイルを開く
添付ファイルはOneNoteのデータです。
開くとOneNoteで内容が表示されます。 - OneNoteに添付データ
OneNoteは情報共有に使えるノートアプリですので、ファイルを添付する機能が搭載されています。
添付されたファイルをダブルクリックすると添付ファイルが実行されます。
攻撃で添付されるのはVisualBasicのスクリプトです。 - 添付データを覆い隠す
OneNoteはノートアプリですので、いろいろなデータを張り付けることができます。
張り付けることのできるものの中に画像データもあります。
張り付けた画像データは好きな場所に配置することができます。
攻撃に使われるOneNoteのデータではこれが巧みに行われていました。
添付されたVisualBasicのスクリプトを覆い隠すように配置されているのです。
その画像にはダブルクリックしてデータを表示しよう、などと書かれています。
その画像をダブルクリックすると実際にはその下に隠されたVisualBasicのスクリプトが実行されます。 - VisualBasicのスクリプトの実行
ダブルクリックを促す画像をダブルクリックし、VisualBasicのスクリプトが起動されようとします。
でも安心してください。VisualBasicのスクリプトの起動の前には警告が表示されます。
コンピュータに害を与える可能性があるデータを開こうとしています、という具合です。
コンピュータシステム側は一定の責任を果たしているともいえるでしょう。
しかし残念ながら一般的なユーザの一部は、こういったダイアログの警告内容を細かく読むことなく、OKをクリックしてしまいます。
こうして届けられた攻撃コードは実行を開始します。
脅威にはいろいろなものがあります。
ユーザが一切関わることなくシステムの脆弱性を悪用していつの間にか攻撃が完了してしまっている、なんていうものもあります。
この手のものは回避が容易ではありません。
しかしその一方、この例のように、ユーザが意識していれば攻撃が成り立つことを回避できる形式のものもあります。
すべての脅威に完璧に対応することは難しいかもしれませんが、手の届く範囲の対応はしっかりと行いたいものです。
参考記事(外部リンク):Hackers now use Microsoft OneNote attachments to spread
malware
www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/
