Home > ラーニング > ライブラリ > 分析センターだより > 縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19)
縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19)
縮小表示プレビューに偽装したアイコンをもつマルウエア
メールに添付されるマルウエアには、脆弱性を悪用する文書ファイルもありますが、それよりも実行ファイルもしくはその圧縮ファイルが今日では主流になっています。JPCERT/CCでも、実行ファイル形式のマルウエアをユーザが自ら実行することでマルウエアに感染した事例を確認しています。
一見して不審に見える実行形式の添付ファイルをわざわざ開いて実行してくれるほど無防備なユーザは数が限られるため、マルウエアに感染させるためには、多くの場合、添付ファイルを無害なファイルに偽装して、ユーザにファイルを開かせる手法が用いられます。その代表的な手法として、アイコンを一見無害に見える他のアイコンに偽装する方法があります。これまでの偽装は、図 1のようなアプリケーションごとに定義されたアイコンによって行われてきましたが、セキュリティ教育を受けたユーザを欺くことが難しくなりつつあります。
今回は、Windowsの機能として比較的新しい縮小表示プレビューのアイコンによる、もう少し手の込んだ偽装について紹介します。
縮小表示プレビューWindows Vista以降、エクスプローラーで表示設定を「小アイコン」より大きくすることで図 2 header_logo.gif (左)のように「.jpg」や「.bmp」等の画像ファイルの縮小表示プレビューがアイコンの代わりに表示されます。また、画像ファイルだけでなく、一部のアプリケーションもコンテンツの内容をアイコンとして表示する機能を有しています。例えば、Microsoft PowerPointがインストールされている環境では、PowerPointプレゼンテーションも図 2 siryou.pptx (右)のように縮小表示プレビューが表示されます。更に、エクスプローラーの表示設定が「中アイコン」以上になると、縮小表示プレビューの右下にアプリケーションを示すアイコンをオーバーレイ表示することもできます。これらの表示に関する設定についてはAppendix Aを参照してください。
縮小表示プレビューによって、ユーザはエクスプローラー上で簡易にファイルの概要を把握し、望みのファイルを選択することができます。
縮小表示プレビューに偽装したマルウエアこれまでにJPCERT/CCで確認したマルウエアには、図 3のような請求書や領収書を連想させる文書の縮小表示プレビューに偽装したアイコンを持つものがあります。このように縮小表示プレビューに偽装したアイコンを見せられたユーザの関心は、ファイルの種類ではなく、縮小表示されたコンテンツに注がれ、その妥当さからファイルを開いてもよいかどうかを判断してしまいがちです。
また、図 4のようにアプリケーションを示すアイコンがオーバーレイ表示されているかのように見えるアイコンで偽装したマルウエアも確認されています。見かけ上のアプリケーションアイコンの有無では、いくら注意して見ても、こうした偽装を見破ることはできません。
中アイコン以外の表示設定ではどのように表示されるのでしょうか。図 5は「特大アイコン」表示で図 3と同じマルウエアを表示した例です。「malware1.exe」は特大アイコンサイズのアイコンが設定されていないため、中アイコンのサイズで表示されています。これにより、ユーザがマルウエアであると気付ける可能性があります。一方で、「malware2.exe」は特大アイコンサイズのアイコンも設定されているため、これだけではマルウエアであるかどうかは見分けられません。
後者のようにアイコンが偽装されたマルウエアであっても、図 6のようにプロパティで「ファイルの種類」を確認するか、または図 7のようにエクスプローラーで表示設定を「詳細」にしてファイルの「種類」を確認して判断すれば、確実に誤認を防ぐことができます。
おわりに
縮小表示プレビューの偽装に用いられるアイコンは、ファイルを開いて内容を確認する必要性を感じさせようと、メールの送付先や本文内容に即したコンテンツに見せかけて作成されます。ここで紹介した、請求書や領収書に見えるマルウエアは、比較的広く使用できるものと言えます。標的型攻撃においては、標的の組織や関連組織からの発行文書にもっともらしく見せかけた画像がアイコン偽装に使用されると考えられます。
今後は、このような攻撃が広く行われる可能性について注意を喚起し、文書や画像の内容がアイコンになっているように見えるファイルに惑わされることなく、当該ファイルを開く前にはファイルのプロパティを調べるなどして、ファイルの種類などを確認する用心深さを持たせるための教育が求められていると言えましょう。
Appendix A: フォルダー オプションで縮小表示に関連する項目
| 1. | 「縮小版にファイル アイコンを表示する」 | |
| → | チェックあり : アプリケーションのアイコンがオーバーレイ表示される (標準の設定) | |
| → | チェックなし : アプリケーションのアイコンがオーバーレイ表示されない | |
| 2. | 「常にアイコンを表示し、縮小版は表示しない」 | |
| → | チェックあり : コンテンツの内容をアイコンとして一切使用しない | |
| → | チェックなし : コンテンツの内容をアイコンとして使用する (標準の設定) | |
Appendix B: 検体のSHA-256ハッシュ値
- malware1: 43cec9a519610592f58c216c7bd1d8a6859f0df506675e32e4834ad021604588
- malware2: 13b02346c79f79d85eb4c8a0ac4b455bb5e69ae25fae3001bdd2040ffb28eedf
- malware3: 8605cb1ef0a1cdd89f38fac4e1964cf3f65c5f159edd3d2c5f8b64e93f1aeaee
- 2015-03-19
- 分析センターだより「縮小表示プレビューに偽装したアイコンをもつマルウエア」を公開
- 2015-03-17
- 制御システムセキュリティカンファレンス2015講演資料を公開
- 2015-02-12
- 内閣官房内閣サイバーセキュリティセンターと国際連携活動及び情報共有等に関するパートナーシップを締結
- 2015-02-09
- 分析センターだより「Dridexが用いる新たなUAC回避手法」を公開
・分析センターだより「縮小表示プレビューに偽装したアイコンをもつマルウエア」
・分析センターだより「Dridexが用いる新たなUAC回避手法」
・分析センターだより「マルウエアPlugXの新機能」
・採用情報
・IPv6セキュリティテスト検証済み製品リスト
・セキュリティ対策チームの構想、構築、運用のためのCSIRTマテリアル
・標的型攻撃への予防 ITセキュリティ予防接種調査報告書
講演資料公開中
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
・「HTML5 Security & Headers - X-Crawling-Response-Header-」
・「Fight Against Citadel in Japan」
・「あなたも狙われている!? インターネットバンキングの不正送金とマルウエアの脅威 」
・「今から始めるHTML5セキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。