迷惑メールの添付ファイルzip圧縮? 中に拡張子.exe/.scrは爆弾危険


イメージ 1特に Windows ユーザーさんを狙って、不特定多数にバラ撒かれる ウイルス付き迷惑メール(スパムメール)

そのウイルスメールの攻撃手口の傾向は、2014年時点でどんなもんでしょーか? <特定の組織を集中的に狙う 標的型攻撃メール ではなく

添付ファイルは圧縮アーカイブが多い?

イメージ 2メールに添付されてるファイルの種類は?

その多くが zip形式の圧縮アーカイブ(拡張子 .zip) でしょう。

このような状況で、メールを開いたらウイルスが勝手に起動して即感染 することは起こり得ません。

まず最初に 圧縮アーカイブをユーザーが手動で展開・解凍 する作業が必須です。

  • 攻撃対象である Windows パソコンが標準対応する圧縮形式 zip
     
  • 生身の実行ファイル(拡張子 .exe .scr)をメールに添付しても、メールソフト Microsoft Outlook や Windows Live メール は、セキュリティ対策として弾く仕様がある

<2015年9月 追記...>

マクロウイルス という脅威に分類される ワードファイル(拡張子 .doc .docm)やエクセルファイル(拡張子 .xls)をメールに添付 して、ユーザーに開かせるウイルスメールの手口が確認されてます。

解凍すると中身が実行ファイル exe/scr形式

圧縮アーカイブを展開すると実行ファイルが登場するのが定番です。

  1. exe 形式 … 通常の Windows 向け実行ファイル
     
  2. scr 形式 … スクリーンセーバー専用実行ファイル 

他に、少ないところで com 形式や pif 形式(DOSプログラム)、特に南米ブラジルをターゲットに cpl形式(コントロールパネル) なんてのもあります。

<2015年12月 追記...>

Windows のスクリプトファイル(拡張子 .js .jse .vbs .wsf)を含む圧縮アーカイブを迷惑メールに添付 してユーザーに開かせる感染手口が確認されてます。


ファイルの偽装に騙されるな!

ウイルス感染に至るには、ファイルをポチポチッとダブルクリックして起動してもらう必要があります。

そこでウイルス攻撃者は、ユーザーをキッチリ欺くため、実行ファイルのアイコンを変更して偽装 したり、ファイル名を二重拡張子 にするトリックを投入します。


《アイコン画像の偽装》

実行ファイルのアイコンを、PDF文書、Office ファイル(Excel、Word)、画像ファイル(JPEG)っぽい画像に変更する


《二重拡張子》

Windows の初期状態では 「ファイルの拡張子が表示されない仕様」 があるので、これを悪用してファイル名を二重にしておくトリックです。

  • 画像や写真を装う 「~.jpg.exe」「~.jpeg.exe」「~.png.exe」

  • PDF文書を装う 「~.pdf.exe」

  • ワード文書を装う → 「~.doc.exe」「~.docx.exe」
    エクセルファイルを装う 「~.xls.scr」

ファイルの拡張子を表示する設定に切り替えを!

Windowsパソコンの ウイルス対策 として、デフォルトで有効になってる [登録されている拡張子は表示しない] のチェックマークを切り替えて、拡張子に注意を払えるようにしましょう!