初回投稿 2014年4月19日

圧縮ファイルzip/rar解凍でウイルス感染? パスワード付き危険!

圧縮アーカイブファイルの解凍・展開だけでウイルス・トロイの木馬・マルウェア・スパイウェア感染被害は起こるのか? ウイルスメール添付zip/rar拡張子ファイル、「やり取り」型攻撃のポイント3つ。

〔Q. 質問〕

請求書や荷物配達通知と称してバラ撒かれる迷惑メール
Eメールに添付されていたファイル がコンピュータウイルスだった
● Eメールや SNS のダイレクトメッセージで相手とやり取り
〔YouTube 動画配信者〕 企業案件やコラボ依頼で受け取った 「企画書」 「契約書」
〔NFT アーティスト〕 デジタルアート作品の制作依頼で受け取った 「資料」
● 検索エンジンでヒットしたページからダウンロード
オンラインストレージ・サービスからダウンロード
「海外製ゲームのチート、クラックツール」
「有償製品の無料ダウンロード (海賊版ソフトウェア)」

圧縮アーカイブのファイルを何も考えずに展開 (解凍) して、その直後にハッと違和感に気づいたけれど、すでに Windows パソコンはウイルスに感染している? (;´Д`)


〔A. 回答〕

いいえ、まだ感染していません。 (^o^)ノ

圧縮アーカイブでウイルス感染のポイント 3 つ


【1】 圧縮されたままの状態ではウイルス活動できず

次のように圧縮アーカイブのファイルが手元にあるとしましょう。

イメージ 1
圧縮アーカイブの画像

【圧縮アーカイブ 一覧】
.zip
ZIP 形式
.rarRAR 形式
.7z … 7-Zip 形式
.cab … CAB 形式
.lzh … LHA 形式
.gz … GZIP 形式
.tar … TAR 形式
.ace … ACE 形式
.img … ディスク イメージファイル
.iso … ディスク イメージファイル

圧縮されたままの状態では…

  • 「ウイルス」 「マルウェア」 「スパイウェア」 「トロイの木馬」 として活動できません

  • Windows ユーザーさんの意思で圧縮アーカイブを展開 (解凍) する作業が必要です


スマホで圧縮ファイルは?

ちなみに、Android スマホ、iOS (iPhone / iPad) は、圧縮アーカイブを標準で扱えないことも多いです。

スマホや携帯電話を狙って、添付ファイルを送りつけるウイルスメール攻撃は一般的ではなく、フィッシングメールショートメール (SMS) で不正な URL にユーザーを誘う手口は確認されています。


【2】 解凍・展開だけでウイルス即感染?

圧縮アーカイブを展開 (解凍) して、次の 拡張子を持つ不正なファイル が登場したら注意してください。

【圧縮ファイルの中身に注意】
.exe … Windows 用実行ファイル
.scrWindows スクリーンセーバー


.doc .docmOffice ファイル (マクロウイルス)

.xls .xlsm

.js .jse … JavaScript ファイル
.vbs … VBScript Script ファイル
.wsf … Windows Script ファイル


.pif … DOS ファイル (※ファイルの拡張子は表示されない仕様)

.lnk … ショートカット (※ファイルの拡張子は表示されない仕様)


ウイルス感染に至るには…

  • 不正なファイルを ダブルクリックして開く行為 が必要です

  • Windows ユーザーさんが 「確認や警告を無視して引き金を引く

つまり、圧縮ファイルを単に展開 (解凍) しただけでは攻撃が発動しません。


2019年 UNACEV2.DLL の脆弱性

一般的なファイル形式ではないけれど、.ace ファイル UNACEV2.DLL 脆弱性 (CVE-2018-20250) が確認されていて、この脆弱性を悪用されると、圧縮アーカイブの展開だけで不正な処理を実行される危険性があります。

「UNACEV2.DLL」 を使う複数のアーカイバソフトで影響があるので、攻撃を 100% 回避する対策がコチラ!

  • WinRAR
    脆弱性の対処が済んでいる 「バージョン 1.70」 以降に更新する

  • Lhaplus注意!!!
    「バージョン 1.74」 をアンインストールする
    あるいは 「UNACEV2.DLL」 ファイルを手動で削除する

  • Explzh
    脆弱性の対処が済んでいる 「バージョン 7.74」 以降へ更新する

  • フリーソフト Lhaca+Lhaca7-Zip
    Windows 7/8/10/11 標準でサポートしている展開機能
    → 「UNACEV2.DLL」 は未使用なので、脆弱性の影響なし


【3】 セキュリティソフトでウイルススキャンする方法

Windows のセキュリティソフトで圧縮アーカイブをウイルススキャンしたいなら、圧縮アーカイブを展開 (解凍) することなくスキャンして OK です。

【圧縮アーカイブ内のウイルス検出名】
Avira HEUR/Suspar.Gen HIDDENEXT/Worm.Gen
ESET RAR/Agent.CI
Sophos Mal/DrodZp-A Troj/DrodZp Troj/Invo-Zip Troj/InvoZp Troj/ZipMal Troj/RarMal Mal/Drod7zip-A Troj/7zmal
Trend Micro HEUR_NAMETRICK.A HEUR_NAMETRICK.B

  • ウイルス定義データやクラウド検出で ”黒” と判定されている脅威を検出する
    → 未対応の脅威をセキュリティソフトが無害と判定する危険性あり

  • パスワードで暗号化された圧縮アーカイブ のスキャンは?

パスワードで暗号化された圧縮アーカイブ (拡張子 .zip または .rar) は注意が必要で、パスワード付きの圧縮ファイルによって内部の コンピュータ ウイルスが保護される危険なトラップ が発動します。

  1. 複数のセキュリティ保護機能を迂回されてしまう
    → ユーザーに対して脅威を警告するチャンスをほぼすべて潰される

  2. 圧縮されているファイルをセキュリティソフトがスキャンできない
    → セキュリティソフトが危険かどうかに関係なく 「無害」 と判定する
    → 正当なオンライン・ストレージにマルウェアをアップロードし放題になる

パスワード付きでウイルス感染攻撃の採用例が↓コチラ。




Eメール本文の URL を踏ませてウイルス感染?

添付ファイルは付いておらず、Eメール本文中に登場する URL やリンクをユーザーに踏ませて強制的にウイルス感染させる攻撃手口 (ドライブバイ・ダウンロード攻撃) が存在します。

ただ、次のウイルス対策ができている Windowsパソコン でウイルス強制感染がまず起こりません。

  1. 定例更新 Windows Update は実施できています
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. ブラウザは最新版に更新できています
    └ Google Chrome、Microsoft Edge、Mozilla Firefox

  3. Adobe Flash Player は最新版に更新できています
    https://get.adobe.com/jp/flashplayer/about/


関連するブログ記事