標的型攻撃メールの最近の傾向と具体的な攻撃事例を示す本特集の第4回は標的型攻撃メールに対する対策例を紹介する。
LNKを悪用したウイルスの見抜き方
ショートカット(LNK)ファイルを悪用したウイルスを使用した標的型攻撃メールでは、ショートカットファイルをそのまま添付、またはzipなどで圧縮し添付されていた。ショートカットファイルにはスクリプトを組み込み、実行と同時にウイルスに感染させるように設定できるため、ファイルを開封しないよう十分注意し下記の例を参考に対策してほしい。
- ショートカットファイルであることを見抜く(アイコン左下に表示される矢印の有無を確認する)
- ショートカットファイル内にスクリプトが設定されていないことを確認する(プロパティの「リンク先」を確認)
それぞれの方法を具体的に見よう。
1.ショートカットファイルを認識する
確認するにはアイコンを見るか、フォルダの設定「詳細表示モード」を見るかで確認できる。アイコン左下に表示されるショートカットを示す矢印マークを確認することでファイル形式の確認が可能だが、表示自体が小さいためフォルダの「詳細表示モード」で確認することを推奨する(図1)。
図1●ショートカットファイルのアイコン
なお、この手法はショートカットファイルだけでなくファイル名にRLO制御文字を使ったウイルスや空白を大量に使い拡張子を誤認させようとするウイルスを見抜くのにも有効である。
また詳細表示モードで表示した際には「種類」欄に「ショートカット」の文字が表示される(図2)。
図2●ショートカットファイルのアイコン(Windows7 [詳細表示])
[画像のクリックで拡大表示]