最終更新日 2017年9月23日

<解決>ショートカットファイル型ウイルス感染手口と無料対策

イメージ 6

〈 2022年4月 〉
凶悪なトロイの木馬 Emotet がEメールで受信した 不正なショートカットファイル を開かせる攻撃手口を採用しているとのこと。Windows ファイアウォールで 「powershell.exe」 「wscript.exe」 などの外部通信をあらかじめブロックしておくと、不正なショートカットファイルをうっかり開いても Emotet の感染を防止できます。

とある海外サーバーに .rar 形式の圧縮アーカイブが公開されていたので、ファイルをダウンロードしてきて解凍 (展開) したところ、中に含まれていたのは ショートカットファイル でした。

イメージ 1

イメージ 2
フォルダー 「新しいフォルダー」 は比較する目的で用意した

このショートカットファイルの正体はいったい…?

  • Windows XP/Vista/7/8/10/11 上で影響するファイル
    mac OS、Android OS、iOS (iPhone / iPad) では動作しない

  • ファイルの脅威はショートカットファイル型のマルウェア
    └ ユーザーに フォルダー と誤認させてファイルのダブルクリックを狙っている

不正なショートカットファイルの攻撃処理

怪しいショートカットファイルを開いたらどんな症状を引き起こすのか、ファイルの [プロパティ] を確認してみると次のような不正な処理を確認できました。

イメージ 3
ショートカットファイルの [リンク先(T)] に攻撃処理あり

  1. Windows に実装されているスクリプト実行環境 Windows PowerShell を呼び出す

  2. PowerShell スクリプトを介して外部ネットワークに接続を試みる

  3. 実行ファイル (マルウェア) をダウンロードしてきてコッソリ起動する

特徴として、攻撃の処理が記載されたファイルがまったく存在せず、Windows のメモリ上に読み込まれた PowerShell スクリプトによって攻撃の処理が展開されます。

セキュリティ用語では 「ファイルレス マルウェア」 「ファイルレス ウイルス」 「ファイルレス攻撃」 と呼ぶ手口で、Windows Defender ほかインストールしてあるセキュリティソフトによって攻撃を阻止させなくする狙いがあります。

Windows のショートカットファイルとは?

Windows ヘルプページから 「ショートカットファイル」 について引用すると…

イメージ 7
テキストファイルと、そのショートカットファイル

ショートカットとは、コンピューター上にある項目 (ファイル、フォルダー、プログラムなど) へのリンクです。作成したショートカットファイルは、リンク先の項目に簡単にアクセスできるように、デスクトップやフォルダーのナビゲーション ウィンドウ (左側のウィンドウ) などの便利な場所に配置できます。
ショートカットファイルのアイコンには 矢印 が表示されるため、元のファイルと区別できます。


ショートカットは拡張子が表示されない仕様あり

実は、ショートカットファイルにも 「.lnk」 という拡張子が存在します。

ただ、Windows のデスクトップやエクスプローラーでは、この拡張子 「.lnk」 が表示されることなく必ず省略される仕様が存在するので、拡張子に注意を払うウイルス対策 が通用しません。

ショートカットファイルのアイコン
任意のアイコン画像を作成者が自由に指定できる
→ たとえば 「文書」 「写真」 「フォルダー」 っぽく見た目の偽装ができる
【ファイルがショートカットか見分けるポイント 2 つ】
(1) アイコンの左下に小さい 矢印 が表示される
(2) ファイルの種類が 「ショートカット」 と提示される

Windows ユーザーさんにショートカットファイル型ウイルスの危険性が知られているとは言い難く、ショートカットファイルの知識やウイルス感染手口を目にしない限り、精神論的なウイルス対策 『不審なファイルを開かない』 では太刀打ちできません。

ショートカットファイル型ウイルスの感染経路はEメール

ショートカットファイル型ウイルスに出会う感染経路の定番が 迷惑メール(スパムメール) で、Eメールの添付ファイルとして受信したり、あるいはEメール本文中の URL リンクからダウンロードさせる流れです。

【ショートカットウイルスの感染経路】
Eメールの添付ファイルとして圧縮アーカイブ (.zip .rar) を受信する
Eメール本文中の URL リンクをクリックしてダウンロードさせる
 ↓ ファイルを展開する

中からショートカットファイルが登場する
 ↓ ポチポチッとダブルクリックして開く

コンピュータウイルス、トロイの木馬、マルウェア感染!

なお、セキュリティソフトに脅威を検出させないよう迂回を目的に、「パスワード付きの圧縮アーカイブ」 が採用される可能性もあります。

ショートカットファイル型ウイルスの感染を効果的に防ぐ対策

ショートカットファイル型ウイルスは役割は?

  • ショートカットファイル単品で大規模な攻撃を遂行するのは困難
    (認証情報を盗みだす、ファイルを破壊して暗号化する → 無理)

  • 「ダウンローダー」 としての役割
    └ メインとなるマルウェアの実行ファイルを外部ネットワークからダウンロードする処理のみ

不正なショートカットファイルは、Windows のシステムに用意さてる正規のプログラムを使ってダウンロードの処理を放り投げるパターンが圧倒的に多いです。

イメージ 5イメージ 4

悪用されうる Windows の正規プログラムの例:

  • Windows PowerShell

  • BITS バックグラウンド インテリジェント転送サービス

  • Windows Script Host (JScript / VBScript)

  • HTML アプリケーション

  • Windows Management Instrumentation (WMI)

そのため、Windows Defender ユーザーさんは Windows ファイアウォール を使って、次の実行ファイルの外部通信 (送信側、アウトバウンド通信) を遮断しておくウイルス対策は有効です。

  • powershell.exe

  • bitsadmin.exe

  • wscript.exe

  • mshta.exe

  • cscript.exe

  • cmd.exe

  • WMIC.exe

不正なショートカットファイル型ウイルスをうっかり開いてしまっても、Windows ファイアウォールを使った無料ウイルス対策ができていると、攻撃による実被害を 100% 回避したり、攻撃そのものの 100% 遮断が実現できます。 




ショートカットファイル型ウイルスの脅威

・ 日本の安全保障を狙った攻撃の手口 - エフセキュア
http://blog.f-secure.jp/archives/50707401.html

・ 標的型攻撃メールの傾向と事例分析 2013年 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/technicalwatch/20140130.html

・ Windows PowerShell、次は標的型攻撃での利用を確認 - トレンドマイクロ
http://blog.trendmicro.co.jp/archives/9210

・ システムを感染させるためにマルウェアが使うPowerShell - マカフィー
http://blogs.mcafee.jp/mcafeeblog/2016/05/powershell-b29b.html

・ ショートカットファイルから感染するマルウエアAsruex - JPCERT/CC
https://www.jpcert.or.jp/magazine/acreport-asruex.html

・ ショートカットに潜むランサムウェアにご注意ください - Sophos
https://nakedsecurity.sophos.com/ja/2016/08/03/

・ The new .LNK between spam and Locky infection – Microsoft
https://blogs.technet.microsoft.com/mmpc/2016/10/19/

関連するブログ記事