Windowsのショートカットを悪用するゼロデイ攻撃

• 脅威情報
• 2010.8.6
• 更新日：2018.3.15

マイクロソフト社は2010年7月19日（米国時間）、7月16日公開のセキュリティホール情報を更新しました。既に、このセキュリティホールを悪用するマルウェアがすでに出回っています。McAfee Labsではこの問題を追跡し、調査結果を一問一答形式で、以下に纏めました。

1. ショートカットファイルにまつわる問題とその悪用方法を教えて下さい。
ショートカット（.lnk）ファイルの解析処理には、設計段階でセキュリティホールが生じてしまいました。McAfee Labsでは、これを悪用するマルウェアを分析したことがあります。問題の原因は、Windowsのシェルコンポーネントが、ショートカットからリンク先アプリケーションへと渡される引数を検証しないことに存在していました。ユーザーが何らかの方法で.lnkファイルのアイコンをロードするだけで、サイバー犯罪者に悪用されてしまいます。

2. 今回のマルウェアに攻撃用ペイロード（シェルコード）は必要ですか？
このセキュリティホールはショートカットファイルの解析処理そのものに起因する問題であるため、攻撃用ペイロード（シェルコード）がなくても悪用することが可能です。ショートカットファイルを攻撃用ファイルにリンクしておくだけで十分です。ただ、攻撃用ファイルを指すパスは、ショートカットファイル内に書き込んでおく必要があります。

3. 攻撃を成功させるためには、どのような条件が必要でしょうか？
この攻撃は、悪質な実行可能ファイルとリンクさせた攻撃用ショートカットファイルをWindowsのエクスプローラーかInternet Explorer（IE）に解析させれば起動できます。攻撃用ショートカットファイルは、ダブルクリックされなくてもセキュリティホールを突くことが可能です。単にショートカットが保存されているフォルダを開かせるだけで、Windowsを感染させることができます。

4. このセキュリティホール悪用時によく使われる攻撃手段を教えて下さい。
この攻撃に最も頻繁に使用されている手法は、USBドライブを経由したものです。また、SMBプロトコル経由のファイル共有サービスを悪用する手口も多く存在しており、イントラネット経由のマルウェア感染拡大につながっています。Webサーバー経由でファイル共有するWebDAVも、同じように悪用されやすい状況です。

5. 影響を受けるWindowsの種類を終えてください。
マイクロソフトは「現在サポート対象の全Windowsがこの攻撃の影響を受ける」としています。詳しい情報については、同社のセキュリティ情報で確認戴ければ幸いです。Windows XP SP2は「影響を受けるWindows」として掲載されていませんが、Windows XP SP2のサポート期間はすでに終了しているため、セキュリティホールは未修正のまま放置される可能性があります。

6. 具体的な攻撃の広がり具合 を教えてください。
このセキュリティホールを突くマルウェアが存在することは、既に周知の事実です。当初は限定的な攻撃なものでしたが、セキュリティ検証ツール「Metasploit Framework」により攻撃用モジュールが公開されたところ、WebDAV共有が攻撃手段として使用されるようになりました。このセキュリティホールに対する攻撃は、今後も拡大していくと思われます。ウイルス対策ソフトのアップデートを怠らず、常に最新のウイルス定義ファイル（DAT、シグネチャ）を使用することで、適切な対応をお願いしたく思います。

McAfee Labsではこのセキュリティホールに関係するマルウェアと攻撃手段を引き続き調査し、新しい情報を随時紹介していく予定です。