初回投稿 2014年12月24日

<危険>スクリーンセーバーscrは100%ウイルス感染3つの手口まとめ

Windowsスクリーンセーバー実行ファイル(拡張子.scr)でウイルス、マルウェア、トロイの木馬、スパイウェア感染危険YouTubu動画配信者、NFTアーティスト、P2Eゲーム偽装の「やり取り型サイバー攻撃。

Windows パソコンで スクリーンセーバー の実行ファイルに付けられる拡張子が 「.scr」 です。

イメージ 2
「スクリーン セーバー」 の実行ファイル例

拡張子 「.scr」 の由来は英単語です。

screen saver
× screen shot (スクリーン・ショット)
× screen capture (スクリーン・キャプチャ)
× script (スクリプト)

スクリーンセーバーとは焼付き防止からサイバー攻撃へ?

スクリーンセーバーの一般的な動作は、キーボードやマウスが一定時間使われていないタイミングに合わせて Windows パソコンのモニター画面に装飾的な模様の動くアニメーションや時計 (日時) を表示する役目でしょう。

Screen Saver スクリーンセーバー 設定ウィンドウ Windows 10/11
Windows スクリーンセーバーの設定ウィンドウ

ただ、パソコンの液晶モニターはエコや節電の面から電源 OFF にする方がよく、スクリーンセーバーの需要は以前より減っていると思われます。

スクリーンセーバーの使用目的
大昔 石器時代 ~ 2000 年代
ブラウン管 CRT ディスプレイモニターの焼き付き防止
現代 液晶モニターに焼き付き現象は存在せず
・ 「お飾り」 や 「お遊び」 の自己満足プログラム
・ パソコンから離席した時のパスワードロック
サイバー攻撃の投入される危険物


スクリーンセーバーは実行ファイルと同等

Windows 上で動作するスクリーンセーバー (拡張子 .scr) を内部データ的に見た場合、Windows 向け実行ファイル (拡張子 .exe) と同等のファイル形式です。 <違いはない

.scr = .exe

つまり、使用する目的が Windows のスクリーンセーバー であると明示されていないのに、拡張子 「.scr」 を持った未知のファイルは、100% 間違いなく危険なマルウェア (コンピュータウイルス) と判断して問題ないです。


Mac やスマホでは動作せず影響なし

ちなみに、スクリーンセーバー (拡張子 .scr) の動作環境は Windows パソコンに限定されるので、それ以外の環境では ファイルを開くことができずプログラムとして動作しません

Windows XP/Vista/7/8/10/11
× mac OS
× Android OS
× iOS (iPhone / iPad)

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー (拡張子 .scr) のファイルをダブルクリックして開く行為は、実行ファイル (拡張子 .exe) をダブルクリックして開く行為に等しいです。

不自然な配布経路でスクリーンセーバーを掴ませるウイルス感染攻撃の手口 3 パターンを挙げます。


【1】 チートツールや有償製品のクラックを装う

キャラクターを強くして対戦型オンラインゲームを有利にする 「チートツール」、本来は購入しないといけない有償製品を 「クラック」 して無料ダウンロード、といった魅力ある名目で無警戒なユーザーたちを おびき寄せます。

たとえば、YouTube 動画 からオンライン・ストレージに投稿されているマルウェアをダウンロードさせるサイバー攻撃が確認されています。

【マルウェア置き場として悪用される正規サービス URL】
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
raw.githubusercontent.com
mediafire.com
mega.nz
onedrive.live.com
sendspace.com
https://fireflyframer.blog.jp/19063702.html


【2】 文書・画像・動画を装いスクリーンセーバーを開くよう誘う

詐欺師がターゲット 1 人に明確に狙いを定めて実行されるサイバー攻撃が確認されています。

「やり取り型」 サイバー攻撃
海外企業に所属する関係者を名乗った詐欺師が、Eメール、Twitter や Instagram のダイレクトメッセージ DM を介してターゲットに連絡を寄越す。仕事の依頼や提案に応じた 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ ブラウザやソフトウェアに保存されている認証情報を盗まれる
  └ パスワード、クレジットカード情報、認証 Cookie
・ 保有する仮想通貨が見知らぬアドレスに送金されて盗まれる
ゲーマーに成りすました詐欺師が、Steam クライアントのチャットや Discord クライアントのダイレクトメッセージ DM を使ってターゲットに接触を試みる。興味本位で応答した 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ オンラインゲームのアカウントハック被害が発生する
・ 勝手にゲームをプレイされる、勝手にゲームを購入される、ゲーム内アイテムを強奪される
・ 乗っ取られた Discord アカウントを悪用してフレンド全員にスパムメッセージを送信する

ターゲットの属性に応じて、手を変え品を変えのサイバー攻撃が展開されるので一例を紹介します。

YouTube 動画配信者 YouTuber
YouTube に動画を投稿するユーザーに照準を合わせたサイバー攻撃。
著名 YouTuber のチャンネルが乗っ取られるキッカケになっている。
YouTube チャンネルが乗っ取られたらどうなる?

詐欺師が 「あなたの運営する YouTube チャンネルは素晴らしい」 とヨイショして、自社開発のソフトウェアの動作レビューや PR を依頼したり、企業案件でコラボ動画を制作しないか提案してくる。
ダウンロードや確認を促される 「ソフトウェア」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
イラストレーター、NFT デジタルアーティスト
ネット上で活動する絵師に照準を合わせたサイバー攻撃。
NFT アートやイラスト制作依頼でウイルス感染

詐欺師が 「あなたの作品は素晴らしい」 「あなたの絵に惚れた」 とヨイショして、仮想通貨や米ドルで報酬を支払うことに触れつつ、自分のために絵を描いてほしいと依頼したり、開発中というゲームのデザインの仕事やイラストの制作を持ち込む。
ダウンロードや確認を促される 「イラスト」 「資料」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
ゲーマー
新しいモノに飛びつきやすく、様々なアカウントを保有するゲーマーに照準を合わせたサイバー攻撃。
ゲームのテストプレイ依頼でウイルス感染

詐欺師は 「開発中の P2E ゲームのテストプレイをして欲しい」 「有料サービスが無料になる特別な方法を教える」 「ゲーム内アイテムをタダであげる」 といったゲーマーの心をくすぐる魅力的な提案を持ち込む。
起動するよう促される 「ゲームのプログラム」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

善人を装った詐欺師と複数回の 「やり取り」 を経て信用を得た後、様々な名目でファイルの開いて確認するよう誘惑します。

  • 偽の文書
    ファイルの名目 「契約書」 「企画書」 「著作権侵害の調査資料」
    (拡張子 .doc.scr / .docx.scr / .pdf.scr)

  • 偽の画像や動画
    ファイルの名目 「資料」 「ゲーム画面」 「写真」 「イラスト」 「作品の見本例」
    (拡張子 .jpg.scr / .jpeg.scr / .png.scr / .psd.scr / .mp4.scr)

  • 偽のプログラム
    ファイルの名目 「ゲームのベータ版」 「開発中の自作ゲーム」
    (拡張子 .exe)


【3】 Eメールでスクリーンセーバーを配布する

迷惑メール (スパムメール) の添付ファイルとしてスクリーンセーバーを受信する、あるいはEメール本文に記載された URL リンクからスクリーンセーバーをダウンロードさせます。

Windows エクスプローラでファイルの種類がスクリーンセーバーのマルウェア.exe
エクセルファイル? ワード文書? ファックスのデータ?
→ アイコンで騙す不正なスクリーンセーバー

スクリーンセーバー添付の不審メール例
金銭の 支払い請求書 (invoice、インボイス) を装う
運送会社を名乗って 荷物の配達通知 を装う


パスワード付き圧縮ファイルが危険!

上のようなサイバー攻撃で、ダウンロードさせようとするファイルの形式が パスワード付きの圧縮ファイル だと厄介です。

~ パスワードを付けることが可能な圧縮ファイル ~
拡張子 「.zip」 「.rar」 「.7z」

この場合、圧縮ファイル内にコンピュータウイルス (マルウェア) が含まれていたとしても、パスワードで保護 (暗号化) されている影響から 様々なセキュリティ保護機能を回避されてしまう 危険性があります。

受け取ったファイルをセキュリティソフトでウイルススキャンしても、診断結果は 「無害」 と判定するので何ら警告もされず、それを見たユーザーは安全なファイルと入手した確信してしまい、呆気なく詐欺師の罠に足元をすくわれます。


スクリーンセーバー scr のウイルス対策

攻撃者が Windows ユーザーを狙ってスクリーンセーバー (拡張子 .scr) を採用する理由は…?

  1. ダブルクリックでウイルス感染
    実行ファイルと同じようにユーザーが開く行為でプログラムが即起動する

  2. アイコン画像で見た目の偽装
    表示されるアイコン画像を指定できるので、文書・画像・動画っぽく偽装できる

  3. スクリーンセーバーの認知度が低い?
    拡張子 .exe と比べて需要が減った影響からかスクリーンセーバーに対する警戒心が薄い

対応が後手に回ることもあるセキュリティソフトにすべてを託さないで、スクリーンセーバーの拡張子 「.scr」 に注意を払って自分の身は自分で護る ことが重要です。


[scr ファイル 開く] [scr ファイル 作成] [scr ファイル 意味] [scr ファイル 再生] [doc.scr ウイルス] [docx.scr ウイルス] [psd.scr ウイルス] [pdf.scr ウイルス] [mp4.scr ウイルス] [scr 拡張子 ウイルス] [scr 拡張子 開く] …

関連するブログ記事