Proofpointはこのほど、「OneNote Documents Increasingly Used to Deliver Malware|Proofpoint US」において、Microsoft OneNoteドキュメントを悪用したフィッシングキャンペーンが増加しているとして、注意を呼び掛けた。これまで電子メールに添付されたMicrosoft Officeファイルに仕込まれているマクロを実行させることで、マルウェアを配信するフィッシング攻撃が行われてきたが、異なるファイル形式が使われつつあることが明らかとなった。

  • OneNote Documents Increasingly Used to Deliver Malware|Proofpoint US

    OneNote Documents Increasingly Used to Deliver Malware|Proofpoint US

Proofpointのセキュリティ研究者の最近の調査により、電子メールとMicrosoft OneNoteドキュメントを悪用したフィッシング攻撃が増えていることがわかった。電子メールの添付ファイルやURLを介し、拡張子が「.one」のMicrosoft OneNoteドキュメント経由でマルウェアが配信されていると報告されている。

例えば、2022年12月にMicrosoft OneNoteの添付ファイルを使用してAsyncRATと呼ばれるマルウェアを配信する6つのキャンペーンが観測されている。その他にも2023年1月にはAsyncRAT、Redline、AgentTesla、DOUBLEBACKなどといった、さまざまなマルウェアを送り込む50以上のMicrosoft OneNoteを悪用したキャンペーンが展開されたこともわかった。OneNote文書を悪用してQbotを配信するキャンペーンも確認されており、北米やヨーロッパだけでなく世界中の組織がターゲットにされていることが判明している。

  • Number of OneNote Campaigns in December 2022 through 31 January 2023、and total number of OneNote campaigns based on malware type.|Proofpoint US

    Number of OneNote Campaigns in December 2022 through 31 January 2023, and total number of OneNote campaigns based on malware type.|Proofpoint US

この新たなサイバー犯罪は今のところ脅威者にとって有効な手口となっていると分析されている。観測された複数のOneNoteマルウェアサンプルは多数のアンチウイルスベンダーに検出されなかったと伝えられており、今後この手法を利用してマルウェアを配信する脅威者が増えることが予想されている。

添付されたファイルやリンク先のファイルを開かない限りマルウェアに感染することはないことため、疑わしい電子メールの添付ファイルを開かないことが推奨される。