一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は19日、Windows環境で縮小表示プレビューに偽装したアイコンをもつマルウェアを確認したとして、注意を喚起した。マルウェアのアイコンが、文書の縮小表示プレビューに偽装されているため、ユーザーが誤ってファイルを開いてしまう恐れがある。
|
アイコンを偽装したマルウェアの例 (図:JPCERT/CC) |
無害なアイコンに見せかける偽装はマルウェアの代表的な攻撃手法だったが、JPCERTでは、マルウェアがWindowsの縮小表示プレビューに偽装したアイコンを表示する、手の込んだ事例を確認したという。
Windows Vista以降のエクスプローラでは、表示設定を「小アイコン」より大きくすると、画像ファイルやMicrosoft PowerPointなど一部のアプリケーションで、コンテンツの内容をアイコンとして縮小表示する「縮小表示プレビュー」機能を備えている。表示設定が「中アイコン」以上の場合、縮小表示プレビューの右下にアプリケーションを示すアイコンをオーバーレイ表示することもできる。
|
縮小表示プレビューが表示されている画像ファイルheader_logo.gif(左)とPowerPointプレゼンテーションsiryou.pptx(右) (図:JPCERT/CC) |
JPCERT/CCでは、請求書や領収書を連想させる文書の縮小表示プレビューに偽装したアイコンを持つ実行ファイル(.exe)を確認。また、縮小表示プレビューの右下に表示される、アプリケーションのオーバーレイ表示まで含んで偽装したマルウェアも確認したとする。
|
オーバーレイ表示されるイラストまで含んで偽装したマルウェア (図:JPCERT/CC) |
縮小表示プレビューに偽装したアイコンのマルウェアは、メールの送付先や本文内容に即したコンテンツに見せかけて作成される。偽装アイコンを見た場合、ユーザーの関心はファイル種類ではなく、縮小表示されたアイコンに集中してしまい、マルウェアかどうかの見分けが付きにくくなる。
|
|
プロパティやエクスプローラで「詳細」表示をした場合は、ファイル種類が確実に判断できる (図:JPCERT/CC) |
JPCERT/CCは、今後同様の攻撃が広く行われる可能性があるとして、縮小表示プレビューに偽装したアイコンをもつマルウェアに対し警鐘を鳴らしている。合わせて、アイコンが偽装されたマルウェアであっても、プロパティで「ファイルの種類」を確認するか、エクスプローラで表示設定を「詳細」にしてファイルの種類を確認することで、誤認を防ぐことができるとしている。
