OneNoteの設定の工夫

マルウェアの利用する作戦には流行りがあります。

Microsoftのオフィス文書のマクロ機能を使ってマルウェアの感染を試みるものが多く登場しました。これは今も続いています。
その後、オフィス文書のマクロ機能にはMark-of-the-Webフラグが導入され、外部から入手したオフィス文書のマクロ機能は利用者が許可しないと実行できないようになりました。

そうすると次に目をつけられたのはisoファイルやZIPファイルでした。
これらのファイル形式はその内部に別のファイルを含むことができますが、その内部に含まれるファイルに対してMark-of-the-Webフラグを正しく適用できていませんでした。
攻撃者たちはこれを悪用し、マルウェアの配布をisoファイルやZIPファイルを使って行うようになりました。
しかしこれも時間の経過とともに対応が進められ、isoファイルやZIPファイルを使った場合でもMark-of-the-Webフラグを正しく適用できるようになりました。

次に攻撃者が目を付けたのはMicrosoft OneNoteでした。
OneNoteは名前が示す通り、ノート機能を提供するアプリケーションです。
いろいろなOS環境から利用でき、OneDriveで情報を保持できるので、どのデバイスからも同じデータを利用できます。
しかも無償で利用できます。
単に文字の情報を書き込むこともできますが、ノートの中に別のファイルを張り付けて使うこともできます。

しかし便利さは利用者のためだけのものではありませんでした。
OneNoteのファイル形式で作成したマルウェアが登場し、うまく隠して配置したOneNoteの文書の中のVisualBasicスクリプトを実行させるような動きをします。

まさにもぐらたたきです。
悪用できる方法を特定しそれに対応を施します。そうすると別の観点で悪用できるものが見つけられてまた悪用されます。
これが繰り返されています。
しかし、利用者の側ではできる対応を実施していく必要があります。なにも対応しないと被害者になってしまう危険性が高くなってしまいます。

OneNoteには前述のような危険性があるのですが、設定を変えることで危険性を下げることができます。
どのような設定でしょうか。

• 埋め込みファイルを無効にする
  OneNoteのグループポリシーで設定できる設定の一つです。
  この設定を使用すると、OneNote文書に埋め込んだファイルを開こうとするとエラーが表示されて開くことができなくなります。
  対象はすべての埋め込みファイルです。拡張子による制限の緩和などはありません。

   

• ブロックする埋め込みファイルの拡張子
  これもOneNoteのグループポリシーで設定できる設定の一つです。
  指定した拡張子のファイルについて、添付ファイルをOneNoteから開けないように動作させることができます。
  .js、.exe、.com、.cmd、.scr、.ps1、.vbs、.lnkなどをこの設定に入れると安全性が高まりそうです。

いずれの設定も強力な防御となりますが、その分OneNoteの利便性が低下するともいえます。
安全性と便利さを天秤にかけるということになりそうです。
利便性の低下は残念ですが、できる対策は実施していくことにしようと思います。

参考記事（外部リンク）：How to prevent Microsoft OneNote files from infecting
Windows with malware
www.bleepingcomputer.com/news/security/how-to-prevent-microsoft-onenote-files-from-infecting-windows-with-malware/