Symantec

シマンテックオフィシャルブログの記事「終わらない "LNK" 攻撃」が、Windowsのショートカットファイルを利用した不正行為が依然として観測されていると伝えた。これはショートカットファイルの仕組みを悪用して、実際にファイルに対するショートカットとして機能するのではなく、ファイルを開く過程でスクリプトを実行させることでシステムにバックドアを構築するといった仕組みになっている。

終わらない "LNK" 攻撃」ではこの攻撃の3つの特徴を次のように説明している。

  • 機能を変えずにソースコードの形態を変更することが容易で、簡単に亜種を作ることができる
  • 一部のスクリプトはメモリ上にのみ格納されるためディスクスキャンにおいて検出されない
  • バックドアスクリプトはAESを使ってサーバとの通信やURLパスを暗号化する

一見すると通常のファイルのように見えるため、メールなどに添付されてくると何も考えずにダブルクリックしてしまう危険性がある。ショートカットファイルが送信されてきた場合には、パスを確認したり、実際にショートカットが指し示すファイルがあるか確認する必要がある。