「OneNote」の文書を添付したフィッシング攻撃が増加

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2023-02-06 10:18

 サイバー犯罪者らは、標的のシステムにマルウェアを感染させるために、巧妙に作り上げた独自のフィッシングメールを用いている。その際に悪質なペイロードを送り込むための新たな手段を模索している。

ノートPCを見つめる人物
提供: Getty / Lucy Lambriex

 Proofpointの分析によると、「OneNote」の文書を用いてマルウェアを送り込もうとするサイバー攻撃が増加しているという。OneNoteは「Microsoft 365」アプリケーションスイートに含まれているデジタルノートアプリであり、そのファイルは「.one」という拡張子になっている。

 同社のリサーチャーらは、OneNoteがこのように悪用されるケースは今までになかったと述べるとともに、攻撃者らがこの手法を試している理由は単純だと指摘している。その理由とは、他の添付ファイルを用いた攻撃に比べると容易に検出を逃れられるというものだ。そしてこの手法は有効であるようだ。

 Proofpointは米ZDNetに対して「オープンソースのマルウェアリポジトリーからのデータを見ると、出回り始めて間もない頃は添付ファイルの問題を検出できないウイルス検知エンジンが複数あった。このため、電子メールがブロックされていなければキャンペーンの初期における成功率は高くなっていただろう」と述べた。

 「Microsoftがマクロをデフォルトで無効化するようになった2022年以来、脅威アクターらは新たな戦術や技術、手順(Tactics, Techniques and Procedures:TTP)を試みるようになってきている。そういったものの中には、それまではあまり見かけることのなかった拡張子、例えば仮想ハードディスク(.vhd)やコンパイル済みHTML(.chm)、そして今回のOneNote(.one)を使うといった手法が含まれている」(Proofpoint)

 2022年12月に発見され、2023年1月に大幅な増加が観測されたこれらのフィッシング電子メールは、「AsyncRAT」や「RedLine」「AgentTesla」「DOUBLEBACK」といったマルウェアのいずれかを送り込もうとするものだ。これらのマルウェアはどれも、ユーザー名やパスワードといった機密情報を標的から盗み出そうとする。

 またProofpointのリサーチャーらは、「TA577」という名称で追跡しているサイバー犯罪者グループも「Qbot」を送り込むためのキャンペーンでOneNoteを利用し始めたことを指摘している。TA577は盗み出した情報を自らで利用するのではなく、ランサムウェア集団を含む他のサイバー犯罪者らに売り渡す、初期アクセスのブローカーとして活動している。

 これまでに60件を超えるキャンペーンが検出されており、それらにはおおむね請求や送金、出荷に関する内容の他、クリスマス賞与といった季節的な内容に関するメールと添付ファイルが用いられているという共通点がある。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]