米マイクロソフトは2022年2月、メールなどのインターネット経由で入手されたOfficeファイルのVBA▼マクロ機能をデフォルトでブロック▼する方針を発表した。攻撃者はこれまで侵入の手がかりによく使っていた手口が封じられたわけだ。当然、別の手口を模索することになる。その1つが、今回紹介するWindowsのショートカットファイル(LNKファイル)の悪用である。こうしたマルウエアを「LNKマルウエア」と呼ぶ。 LNKマルウエアとは、ユーザーがダブルクリックするとそれ自身が不正な挙動を示すLNKファイルや、他のマルウエアに感染させる仕組みを備えるLNKファイルを指す。LNKファイルは、Windowsのエクスプローラーで拡張子を表示するように設定しても拡張子が表示されない▼。アイコンも簡単に変更でき、ユーザーはあまり警戒しない。一方でリンク先▼にスクリプトやコマンドを記述できるため、攻撃に悪用しやすい。LNKマルウエア自体は10年以上前から存在するが、その手口は以前よりも巧妙になっている。
ツールで簡単に作成できる
手口を知ることは防御につながる。攻撃の具体的な手口を見ていこう。LNKマルウエアは簡単に作成できる状況が整い始めている。「LNKマルウエアビルダー」と呼ばれるツールがあるためだ。今回は2種類のツールを紹介する。 1つは「QuantumBuilder」(図1)。ハッカーフォーラムで月額189ユーロからの使用料(永久ライセンスは2000ユーロ)で販売されている。
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091600036/?ST=nxt_thmit_security
