「Windows」ショートカットのぜい弱性を悪用する攻撃

パッチが適用できない場合も考えたトータルソリューションを

2010.10.06

　2010年7月中旬、USBメモリーなどのリムーバブルメディアを介して感染活動を行う新種のウイルスが登場した。ワーム型であるこのウイルスは、新たに確認されたWindowsのショートカットのぜい弱性を悪用する。従来型のオートランを悪用するウイルスに加え、USBメモリーの新たな脅威になる可能性がある。

ぜい弱性の公表時、既にウイルスが存在

　Windowsのショートカットファイル（拡張子「LNK」のファイル）におけるプログラムの設計上の欠陥が明らかになったのは7月17日。このときには既に、このぜい弱性を悪用する新種のウイルスが確認されていた。このウイルスは、USBメモリーなどのリムーバブルメディアを媒介として感染活動を行う。

　Windowsのショートカットのぜい弱性とは、特別に細工したショートカットファイルのアイコンが画面上に表示された際、攻撃者が指定したコードが実行される可能性があるというもの。コンピュータのOSや自動実行機能の設定によって、リンクをクリックしなくても「画面に表示しただけで」実行されることがポイントである。このショートカットのぜい弱性に関するセキュリティ更新プログラムは、8月3日になるまで公開されず、しばらくの間パッチのないいわゆる“ゼロデイ”の状態が続いていた（※1）。

　トレンドマイクロ製品で「WORM_STUXNET.A」（※2）として検出される新種のウイルスは、USBメモリーなどのリムーバブルメディアを介してコンピュータに侵入後、「LNK_STUXNET.A」（※3）として検出される不正なLNKファイルを作成する。この不正なLNKファイルは、Windowsショートカットのぜい弱性を悪用し、不正なEXEファイルを実行する。さらにこの不正なLNKファイルは、自身のコピーをリムーバブルメディアや、ネットワーク上の他のコンピュータに作成することで、感染を拡大させるのである。

　また、同時に「RTKT_STUXNET.A」（※4）として検出されるルートキットも作成する。ルートキットとは、自分自身の活動を隠すものであり、この働きにより、ウイルスが自分自身の不正活動を隠してしまうため、利用者に気づかれないままとなる。さらに解析を進めると、一連のウイルス活動の中にデータベースにアクセスしSQLコマンドを実行する機能もあることが確認された。

[画像のクリックで拡大表示]

ぜい弱性を狙う複数の攻撃が確認

　Windowsのショートカットファイルのぜい弱性が報告されてから間もなく、このぜい弱性を利用した別の攻撃事例が確認された。マイクロソフトによると、この攻撃は「Drive-by Download 」（ドライブバイダウンロード）という手口を使用し、Windowsのショートカットファイルのぜい弱性を利用しているという。この手口により、特定の不正サイトにアクセスしただけで感染してしまうことが起こり得る。さらに同社が確認したところによると、Microsoft Officeのショートカットファイルなど、既存のファイルにも細工を施す手法を用いている（※5）。そのため、一見安全に見える既存のファイルをダウンロードして開いただけで、実際は、最新の手口によって感染被害に見舞われるという事態に陥ってしまう。

　この最新の手口に関して、TrendLabs（トレンドラボ）では、「WORM_VBNA.IVN」（※6）、「WORM_VOBFUS.AI」（※7）、「TROJ_CHYMINE.A」（※8）という3種類の検体を確認しているが、いずれも特別に細工した不正LNKファイル「LNK_STUXNET.SM」（※9）を使って感染活動を行う。それぞれの活動は以下の通り。

「WORM_VBNA.IVN」は、USBメモリーを悪用するワーム型ウイルス「オートラン」の発展系である。このウイルスは、「LNK_STUXNET.SM」として検出される不正なLNKファイルを作成、リムーバブルメディア内にある「WORM_VBNA.IVN」自身のコピーを連動させる。また、「WORM_VOBFUS.AI」として検出される不正なDLLファイルも作成する。
「WORM_VOBFUS.AI」も「LNK_STUXNET.SM」として検出される不正なLNKファイルを作成する。
「LNK_STUXNET.SM」は、「TROJ_CHYMINE.A」として検出される不正なDLLファイルを実行する。この「TROJ_CHYMINE.A」は、リモートサイトに接続し、不正なEXEファイル（同じく「TROJ_CHYMINE.A」として検出）をダウンロードする。

[画像のクリックで拡大表示]

「ZBOT」および「SALITY」の拡散にも悪用

　さらに発展した事例として、今回のぜい弱性が、ボットネットZeusに荷担させられるボットウイルス「ZBOT」の拡散にも使われていることが確認された。この手口ではまず、マイクロソフトを差出人によそおったメールから攻撃が始まる。このスパムメールには、「添付の修正パッチを適用し、ぜい弱性を利用した攻撃から身を守るように」と記されている。メールの添付ファイルの実態は、先ほども登場した「LNK_STUXNET.SM」である。実行すると、このLNKファイルと連動する「WORM_STUXNET.SM」（※10）を実行するとともに、「TROJ_ZBOT.BXW」（※11）として検出される不正なDLLファイルも感染コンピュータ内に作成される。この「TROJ_ZBOT.BXW」が、今年初め、ボットネット「Zeus 2.0」関連として注目されたZBOT関連の不正プログラムである。この事例からも、今回のぜい弱性がいかに広く悪用されてしまっているかがわかるだろう。