初回投稿 2014年4月19日
最終更新 2019年3月23日

ファイル解凍でウイルス感染? zip/rar添付の迷惑メール3つのポイント

イメージ 2

質問 Q

メールに添付されていたファイル が、まさかのコンピュータウイルスだったみたい!
添付されていた圧縮アーカイブを何も考えずに展開/解凍して、その後に不自然さや違和感にハッと気づいたけれど、もうすでに Windows パソコンはウイルス感染しちゃった? (;´Д`)

答え

いいえ、感染してません


【1】 圧縮されたままの状態ではウイルス活動できず

次のような圧縮アーカイブが手元にあるとしましょう。

イメージ 1
圧縮アーカイブの画像

【圧縮アーカイブ一覧】
.zip
… ZIP形式
.rar … RAR形式
.7z … 7-Zip形式
.cab … CAB形式
.lzh … LHA形式
.gz … GZIP形式
.tar … TAR形式
.ace … ACE形式

圧縮されている状態のファイルは…

  • 「ウイルス」「マルウェア」「スパイウェア」「トロイの木馬」「ランサムウェア」 として活動できない

  • Windows ユーザーさん自らの手で圧縮アーカイブを解凍/展開する作業を行う
    → 「開く」「ダブルクリックする」 といった行為ができる状態にしておく必要アリ

スマホは?

ちなみに、Android スマホ、iOS(iPhone/iPad)、ガラケー は圧縮アーカイブを標準では扱えないので、スマホはEメールで圧縮アーカイブを送りつけるウイルスメール攻撃に対して一般的に対象外です。


【2】 セキュリティソフトでスキャンする方法

セキュリティソフトを使って圧縮アーカイブのファイルスキャンを行いたい!

そういう場面で圧縮アーカイブの展開/解凍を行わずに、そのままスキャン作業を行って問題ありません。

【圧縮アーカイブ内のウイルス検出名】
AVG FakeAlert
Avira HEUR/Suspar.Gen HIDDENEXT/Worm.Gen
ESET RAR/Agent.CI
F-Secure Trojan.MultiDrop.1.Gen
Sophos Mal/DrodZp-A Troj/DrodZp Troj/Invo-Zip Troj/InvoZp Troj/ZipMal Troj/RarMal Mal/Drod7zip-A Troj/7zmal
Trend Micro HEUR_NAMETRICK.A HEUR_NAMETRICK.B

○ セキュリティソフトは、ウイルス定義データなどで ”黒” と判定されうる場合にだけ脅威を検出する
  → ウイルス定義データでまだ対応されてない脅威は ”白” と判定されてしまうから注意!

パスワード付き圧縮アーカイブ のファイルスキャンは?
  → 解凍/展開する作業をユーザーさんが手動で行わない限り、脅威を検出できない

○ 基本的に日本国内でしか使われてないマイナーな圧縮アーカイブ LHA形式(拡張子 .lzh) は?
  → 海外系セキュリティソフトではファイルスキャンに対応していない場合あり


【3】 展開/解凍だけでウイルス即感染?

圧縮アーカイブの展開/解凍で、たとえば次の 拡張子を持つ不正なファイル が登場したとします。

【メールに添付された圧縮ファイルの中身】
.js .jse … JavaScript ファイル / JScript Script ファイル
.vbs … VBScript Script ファイル
.wsf … Windows Script ファイル

.hta … HTMLアプリケーション
.exe … Windows 向け実行ファイル
.scrスクリーンセーバー
.lnk … ショートカット (※ ファイルの拡張子は表示されない仕様)
.doc .docm .xls .xlsm … マクロウイルス
.pdf … マクロウイルス埋め込みPDF文書


ここからウイルス感染状態に至るには、不正なファイルを ユーザーの意志でポチポチッとダブルクリックして開く という作業を行わないとダメです。<ユーザーが ”引き金を引く” ことが必須


2019年3月 UNACEV2.DLL の脆弱性

日本ではかなりマイナーな形式だけど、 .ace ファイルを扱う UNACEV2.DLL に脆弱性(CVE-2018-20250) が確認されています。

この脆弱性を悪用された場合、ユーザーが単に圧縮ファイルを展開・解凍する作業だけで攻撃処理を発動できます。

UNACEV2.DLL を利用している複数のアーカイバソフトで脆弱性の影響があるので、そんな脆弱性を悪用するウイルス感染攻撃を確実に回避する対処方法は?

  • WinRAR ロシア
    対処済みの バージョン1.70 以降へ更新作業を行う

  • Lhaplus 日本
    バージョン 1.74 をアンインストールして削除する
    あるいは UNACEV2.DLL ファイルだけ手動で削除する

  • Explzh 日本
    対処済みのバージョン7.74 以降へ更新作業を行う

  • BandiZip 韓国
    対処済みの バージョン6.21 以降へ更新作業を行う

  • ALZip 韓国
    日本ではユーザーサポート終了済み
    UNACEV2.DLL が含まれてるものの、攻撃処理は機能せず?

  • その他 Lhaca、+Lhaca、7-Zip、Windows 標準の展開機能
    UNACEV2.DLL は使用されていないので脆弱性の影響ナシ

ウイルスメールの攻撃の流れ

メール受信 → ウイルス感染に至るまで、次のステップを踏む必要があります。

ちなみに、今現在はメールソフトがサポートする メッセージの開封プレビュー、添付ファイルのプレビューでウイルス感染 といった攻撃手口はいっさい行われていません。 <今から15年近く前の過去の脅威

【ウイルスメールの攻撃の流れ】
圧縮アーカイブが添付されてるメールを受信する
 ↓ 圧縮ファイルの解凍/展開

中身は .js./jse/.vbs/.wsfファイル、.exe/.scrファイル
 ↓ ユーザーがダブルクリックして開く

ウイルス感染!

つまり、Windowsパソコンにウイルス感染させるには、添付ファイルが 「文書」「請求書」「写真」「画像」 と思い込ませないといけません。

そこで、攻撃者は次のようなファイル名で Windows ユーザーを惑わせます。

  • ~ .doc.zip
  • ~ .docx.zip
  • ~ .pdf.zip
  • ~ _pdf.zip
  • ~ .jpeg.zip
  • ~ -JPG.zip
  • ~ -IMG.zip
  • ~ -txt.zip
  • Photo.zip
  • Image.zip

抽象的で何をするのが分からない 『怪しいメールを開くな!』 は横に置いといて、ウイルスメール対策のキモはファイル名や拡張子に注意を払う知識 です。

メール本文のURLを踏ませてウイルス感染

添付ファイルは付いておらず、メール本文中に登場する URL やリンクをユーザーに踏ませて、ウイルス感染させる手口も存在します。

これは ドライブバイ・ダウンロード攻撃 と呼ばれる手口です。

ただ、次のウイルス感染条件2つのうち1つでも該当する Windowsパソコン だけが、ウイルス強制感染が起こりえることになります。

  1. 毎月定例更新の Windows Update が実施されていない
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player が旧バージョンのまま更新されていない
    https://get.adobe.com/jp/flashplayer/about/

Windows ユーザーがキッチリ Windows 7/8/10パソコンの無料ウイルス対策(←最強)をやっておくと、この脅威はほぼ100%確実に回避できます。

一方、人気セキュリティソフト にすべてを託して、無料ウイルス対策 を行ってない場合は痛い目ににあうのです。

関連するブログ記事