米マイクロソフトは2022年2月、メールなどのインターネット経由で入手されたOfficeファイルのVBA▼マクロ機能をデフォルトでブロック▼する方針を発表した。攻撃者はこれまで侵入の手がかりによく使っていた手口が封じられたわけだ。当然、別の手口を模索することになる。その1つが、今回紹介するWindowsのショートカットファイル(LNKファイル)の悪用である。こうしたマルウエアを「LNKマルウエア」と呼ぶ。
LNKマルウエアとは、ユーザーがダブルクリックするとそれ自身が不正な挙動を示すLNKファイルや、他のマルウエアに感染させる仕組みを備えるLNKファイルを指す。LNKファイルは、Windowsのエクスプローラーで拡張子を表示するように設定しても拡張子が表示されない▼。アイコンも簡単に変更でき、ユーザーはあまり警戒しない。一方でリンク先▼にスクリプトやコマンドを記述できるため、攻撃に悪用しやすい。LNKマルウエア自体は10年以上前から存在するが、その手口は以前よりも巧妙になっている。
ツールで簡単に作成できる
手口を知ることは防御につながる。攻撃の具体的な手口を見ていこう。LNKマルウエアは簡単に作成できる状況が整い始めている。「LNKマルウエアビルダー」と呼ばれるツールがあるためだ。今回は2種類のツールを紹介する。
1つは「QuantumBuilder」(図1)。ハッカーフォーラムで月額189ユーロからの使用料(永久ライセンスは2000ユーロ)で販売されている。
QuantumBuilderを使うと、LNKファイルを開いたときにバックグラウンドで実行させるHTAファイル▼の作成や、その他の様々な設定が数クリックで完了する。300種類以上のアイコンの中からLNKファイルを偽装するアイコンを選べる。またLNKファイルの拡張子を偽装する機能や、LNKファイルをクリックしたときにおとりのファイルを開かせる機能なども備える。
もう1つは「mLNK Builder」というツールだ(図2)。匿名性が高いSNS▼などのアンダーグラウンドで、月額100ドルからの使用料で販売されている。LNKファイルを開いたときに実行するマルウエアやおとりファイルを複数設定できるほか、LNKファイルに埋め込む▼PowerShellスクリプトやVBScript▼を難読化する機能なども備える。
LNKマルウエアは攻撃のきっかけを作る重要な役割を担うが、実用性のあるLNKマルウエアを作成するのはそれなりに骨が折れる。攻撃者からすると、こうしたツールを使わない手はないだろう。
