先日から日本の安全保障に関する業務に携わっている方々に対してマルウェア付きのメールが届いているようですので、その手口を紹介します。
最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。
zipファイルを展開すると、テキストファイルへのショートカットが入っています。
プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます。
ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。
本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになります。
今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっておりました。
以上がショートカットを利用したマルウェアの手口ですが、皆さんに注意していただきのは、
人から送られてきたショートカットはクリックしてはいけない
ということに尽きます。
ショートカットは実行ファイル(exeファイル)と同じくらい危険だと思ってください。
このような手口は何かの脆弱性を攻撃しているわけではなく、ショートカットの”仕様”を利用したものですので、ウイルス認定することが難しく、多くのウイルス対策ソフトウェアでは検知できませんし、ふるまい検知型のウイルス対策ソフトでも検知することができませんでした。
さて、すでに多くの方はお気づきになっていると思いますが、日本語版のOSではショートカットのファイル名が文字化けしています。
そこで別の言語のOS上でもzipファイルを展開してみたので、結果を紹介して、文字化けの理由の回答とさせていただきます。
最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。
zipファイルを展開すると、テキストファイルへのショートカットが入っています。
プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます。
ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。
本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになります。
今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっておりました。
以上がショートカットを利用したマルウェアの手口ですが、皆さんに注意していただきのは、
人から送られてきたショートカットはクリックしてはいけない
ということに尽きます。
ショートカットは実行ファイル(exeファイル)と同じくらい危険だと思ってください。
このような手口は何かの脆弱性を攻撃しているわけではなく、ショートカットの”仕様”を利用したものですので、ウイルス認定することが難しく、多くのウイルス対策ソフトウェアでは検知できませんし、ふるまい検知型のウイルス対策ソフトでも検知することができませんでした。
さて、すでに多くの方はお気づきになっていると思いますが、日本語版のOSではショートカットのファイル名が文字化けしています。
そこで別の言語のOS上でもzipファイルを展開してみたので、結果を紹介して、文字化けの理由の回答とさせていただきます。