OneNote形式のファイルを悪用した攻撃増加、手口と対策公開

　独立行政法人 情報処理推進機構（IPA）は5月11日、「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2023年1月～3月]」の参考資料として、「OneNote形式のファイルを悪用した攻撃の手口と対策」を公開した。

　「OneNote形式」とは、Microsoft社が提供するデジタルノートアプリ「OneNote」のファイル形式。OneNoteで作成したノートには、文字入力のほか画像やファイルを添付することができる。拡張子は「.one」。

　IPAでは、OneNote形式のファイルを悪用し、悪意のあるファイルを実行させることで、ウイルスに感染させる攻撃を公開情報より確認し、2023年1月には同手口を用いた攻撃メールを初観測した。3月には、Emotetへの感染を企図する攻撃メール（件名・本文が日本語）で同手口を観測している。

　手口としては、攻撃者はOneNote形式のファイル、あるいはこれを格納したZip形式のファイルを添付したメールを送りつける。ファイル名には、請求書配達通知、注文書などに関係するものが確認されている。

　メールの本文には、添付ファイルの開封を促す内容が記載されていることが多い。添付ファイルをOneNoteで開くと、ノートにはボタンや文書ファイルのアイコンをクリックするように促す指示が書かれている。これらのアイコンは本物ではなく、特定の位置を示すものとなっている。

　受信者がアイコン（の位置）をダブルクリックすると。ノートに埋め込んだ悪意のあるファイルが実行され、受信者のコンピュータをウイルスに感染させる。なお、悪意のあるファイルの実行前には、OneNoteのセキュリティ警告が表示される。

　資料では、4つの事例を紹介しており、その特徴を次のように挙げている。

・ノートの内容が、見えない状態(白紙、不鮮明)になっている
・ノートに「CLICK TO VIEW DOCUMENT」「View」「Open」等のボタンが表示されている
・ノートに文書ファイルのアイコンが表示されている
・ノートの内容や添付されている文書ファイル、クラウドサービス上のファイルを閲覧するために、ボタンやファイルのアイコンをクリックするように促す指示が書かれている

　これらの特徴のいずれかに当てはまる不審な「OneNote形式のファイル」を受信した場合には、ノートに書かれた指示の操作は行わず、システム管理部門等へ連絡するなど、所定のルールに沿った対応をするよう呼びかけている。

　「OneNote形式のファイル」を受信した場合は、次の対策が有効としている。

・身に覚えのないOneNote形式のファイルは開かない
・身に覚えのないOneNote形式のファイルのノートに書かれた指示には従わない
・OneNote形式のファイルの閲覧中に、セキュリティ警告が表示された際、警告文をよく確認し、安全であると判断できない場合は「OK」ボタンをクリックしない