初回投稿 2014年4月19日

圧縮ファイル解凍でウイルス感染する? zip/rarパスワード付き危険

圧縮アーカイブファイルの解凍・展開だけでウイルス・トロイの木馬・マルウェア・スパイウェア感染被害は起こるのか? ウイルスメール添付zip/rar拡張子ファイル、「やり取り」型攻撃のポイント3つ。

〔Q. 質問〕

何も考えずに圧縮ファイルを展開 (解凍) して、直後にファイルの不自然さに気づいたけれど、Windows パソコンはもうコンピュータウイルス (マルウェア) に感染していますか? (;´Д`)

請求書や荷物配達通知と称する迷惑メール
Eメールの添付ファイルがコンピュータウイルスだった
検索エンジンでヒットしたページからダウンロード
「ゲームのチートツール、クラック」
「有償製品の無料ダウンロード (海賊版ソフトウェア)」


〔A. 回答〕

いいえ、まだコンピュータウイルス (マルウェア) に感染していません。 (^o^)ノ

圧縮ファイルからウイルス感染の流れ ポイント 3 つ


【1】 圧縮されたままの状態ではウイルス活動できず

次のように圧縮ファイルが手元にあるとしましょう。

イメージ 1
圧縮アーカイブ形式のファイル

【圧縮アーカイブ 一覧】
.zip
ZIP 形式
.rarRAR 形式
.7z … 7-Zip 形式
.cab … CAB 形式
.lzh … LHA 形式
.gz … GZIP 形式
.tar … TAR 形式
.ace … ACE 形式
.img … ディスク イメージファイル
.iso … ディスク イメージファイル

圧縮されたままの状態では…

  • 「コンピュータウイルス」 「マルウェア」 「スパイウェア」 「トロイの木馬」 として活動できません

  • まず最初に Windows ユーザーさんの意思で圧縮アーカイブを展開 (解凍) する作業が必要です


スマホで圧縮ファイルは?

ちなみに、Android スマホ、iOS (iPhone / iPad) は、圧縮ファイルを標準で扱えないことが多いです。

スマホや携帯電話を狙って、添付ファイルを送りつけるウイルスメール攻撃は一般的とは言えず、Eメールショートメール (SMS) を使って不正な URL にアクセスを誘うフィッシング詐欺の方が多いと思われます。


【2】 解凍・展開だけでウイルス即感染?

圧縮ファイルを展開 (解凍) して、次の 拡張子を持つ不正なファイル が登場したら注意してください。

【圧縮ファイルの中身に注意】
.exe … Windows 用実行ファイル
.scrWindows スクリーンセーバー


.doc .docmOffice ファイル (マクロウイルス)

.xls .xlsm

.js .jse … JavaScript ファイル
.vbs … VBScript Script ファイル
.wsf … Windows Script ファイル


.pif … DOS ファイル (※ファイルの拡張子は表示されない仕様)

.lnk … ショートカット (※ファイルの拡張子は表示されない仕様)


ウイルス感染に至るには…

  • 不正なファイルを ダブルクリックして開く行為 が必須です
    → Windows ユーザーさんが 「確認や警告を通過した上で引き金を引く」 こと

つまり、圧縮ファイルを単に展開 (解凍) したにすぎない状態では、まだ攻撃が発動していません。


UNACEV2.DLL の脆弱性 (2019年)

一般的なファイル形式ではないけれど、.ace ファイル UNACEV2.DLL 脆弱性 CVE-2018-20250 が確認されていて、この脆弱性を悪用されると圧縮ファイルの展開だけで攻撃を受ける危険性があります。

「UNACEV2.DLL」 を使う複数のアーカイバソフトで影響があり、攻撃を 100% 回避できるウイルス対策がコチラ!

  • WinRAR
    問題が解決している 「バージョン 1.70」 以降に更新してください

  • Lhaplus注意! 最新版で未解決
    Lhaplus フォルダーの 「UNACEV2.DLL」 ファイルを手動で削除してください

  • Explzh
    問題が解決している 「バージョン 7.74」 以降に更新してください

  • Lhaca+Lhaca7-Zip
    サポートしていないファイル形式なので脆弱性の影響なし

  • Windows 7/8/10/11 標準の圧縮ファイル展開機能
    サポートしていないファイル形式なので脆弱性の影響なし


【3】 セキュリティソフトでウイルススキャンする方法

Windows のセキュリティソフトで圧縮ファイルをウイルススキャンしたいなら、圧縮ファイルを展開 (解凍) することなくスキャンして OK です。

【圧縮アーカイブ内のウイルス検出名】
Avira HEUR/Suspar.Gen HIDDENEXT/Worm.Gen
ESET RAR/Agent.CI
Sophos Mal/DrodZp-A Troj/DrodZp Troj/Invo-Zip Troj/InvoZp Troj/ZipMal Troj/RarMal Mal/Drod7zip-A Troj/7zmal
Trend Micro HEUR_NAMETRICK.A HEUR_NAMETRICK.B

  • ウイルス定義データやクラウド検出で ”黒” と判定されている脅威を検出する
    → 未対応の脅威をセキュリティソフトが無害と判定する危険性あり

  • パスワードで暗号化された圧縮ファイル のスキャンは?

パスワードで暗号化された圧縮アーカイブ (拡張子 .zip または .rar) は注意が必要で、パスワード付きの圧縮ファイルによって内部の マルウェア (コンピュータウイルス) までも保護されるトラップ が発動します。

  1. 複数のセキュリティ保護機能を迂回されてしまう
    → ユーザーに対して脅威を警告するチャンスを潰される

  2. 圧縮されているファイルをセキュリティソフトがスキャンできない
    → セキュリティソフトが危険かどうかに関係なく 「無害」 と判定する
    → 正当なオンライン・ストレージにマルウェアをアップロードし放題になる

パスワード付きでウイルス感染攻撃の採用例が↓コチラ。




Eメール本文の URL を踏ませてウイルス感染?

Eメール本文中に登場する URL やリンクをユーザーにクリックさせて、Windows パソコンにコンピュータウイルス (マルウェア) を強制的に感染させる手口が存在します。

ただ、継続的に次のウイルス対策ができている Windowsパソコン は影響が低くて大丈夫です。

  1. 定例更新 Windows Update は実施できていますか?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. インストールしてあるブラウザは最新版に更新できていますか?
    「Microsoft Edge」 「Google Chrome」 「Mozilla Firefox」




関連するブログ記事