Mark of the Webとは【用語集詳細】
Mark of the Web(略称MOTW)は、Windowsにおいて採用されている、ファイルに対するセキュリティ警告機能です。
WordやExcel、PowerPointなどのMicrosoft Officeファイルが、インターネット上やメール添付ファイルなどの信頼できない場所からダウンロードされた場合、あるいはZipファイルから展開されていた場合、当該ファイルを開くとウィンドウ内に警告が表示される仕組みです。
この仕組みにより、インターネット上からダウンロードしたOfficeファイルのマクロなどは、デフォルトでブロックされ、保護ビューで起動します。
2022年、この仕組みに対するゼロデイ脆弱性が存在し、攻撃者がMOTW機能を動作させないよう迂回する手口を悪用していることが明らかになっています。その後Microsoftは修正アップデートを公開しました。
MOTWは、ファイルに付与されるZoneIdからその信頼性を判断し動作します。
2022年11月の時点で、この機能を無効化する目的で、悪性添付ファイルを特定のディレクトリに保存するよう誘導するEmotetのフィッシングメールが観測されています。
また、2023年に入ってからは、MOTW機能の適用されないMicrosft OneNoteファイル(.one)に悪性コードを埋め込み、添付ファイルとしてマルスパム攻撃を行う例が増加しています。なお、Microsoftはこうした悪用を受けて不審なOneNoteファイルに対する警告機能を強化しました。
