ショーカットファイル形式のマルウェアに気をつけましょう。

マルウェアが感染するには、かならずその経路が存在しています。

しかし、感染の経路自体が増加している現状では、これまで利用されていなかったはずの経路に付いても、認識を新たにする必要があるようです。今回解説するショートカットを利用した感染経路は、すでに実際の事例も報告されている手法です。

しかもユーザーの心理を利用して、細かい仕掛けを用いている手法です。すでにデスクトップ上に置いた記憶のないショートカットが存在する人は、要注意です。

ショーカットファイル形式のマルウェアの実際

気がついたらデスクトップ上に見たこともないショートカットが登場。なんだろうと思ってダブルクリックしても反応なしということが、これまでなかったでしょうか?

もしかしたら、マルウェア(不正プログラム)を起動するショートカットかも知れません。

実際にはマルウェアをそのままの形でデスクトップ上に置いていれば、ある程度の知識があれば気が付きます。

例えば拡張子に「.exe」と表示されている未知のファイルであれば、すぐに開かないかも知れません。

ところがショートカットであれば「.lnk」が拡張子です。すこしだけ警戒をゆるめるかも知れません。

また、もともとデスクトップにあったショートカットを悪利用するタイプのマルウェアも存在しているようです。これではファイル名と拡張子から判断することは困難です。

その他には、いかにも知り合いから届いたファイルのように、ショートカットの表示名を仮想するタイプもあるようです。

ショーカットファイル形式のマルウェアの特徴

かなり巧妙な手段を利用したものが、これまで実際に確認されています。

例えば、自社の取引先を名乗った差出人から届いたメールに添付された圧縮ファイルを展開することで、デスクトップ上に新しいショートカットが追加される手法です。

そのショートカットのファイル名は、いかにも自社の業務に関係しているような内容であるため、警戒せずに開くことによって感染したとのことです。

その他にも、もともとデスクトップに存在していたショートカットの「リンク先」を、マルウェアの実行ファイルに変更するような手法も確認されています。

さらにショートカット自体にマルウェアを仕込んでいるものや、起動すると特定のFTPサーバーへ接続してマルウェアをダウンロードするものなどが発見されています。

このような手法になると、ファイルの表示名を目視しても判断はできませんから、マルウェア対策ソフトによる定期的なチェックが必要となります。

ショーカットファイル形式のマルウェア対策

知り合いや取引先を名乗る差出人から届いたメールの添付ファイルには、特に注意する必要があります。メールが届いた段階で、セキュリティ対策ソフトが反応する可能性は低いかも知れません。しかし解凍してデスクトップにショートカットが登場した段階で、マルウェアの可能性を疑う必要があります。

しかし、すでに存在しているショートカットを利用するタイプであれば、そのような対応では限界があります。やはり、セキュリティ対策ソフトを常に最新の状態にしておき、新しく届いた圧縮ファイルがあるときは、解凍前と解凍後にマルウェアの有無をチェックすべきでしょう。ショートカットを経由してマルウェアに感染する可能性を、あまり重視していない時代もありました。しかし、現在では当たり前に利用されている感染経路となっています。