縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19)

メールに添付されるマルウエアには、脆弱性を悪用する文書ファイルもありますが、それよりも実行ファイルもしくはその圧縮ファイルが今日では主流になっています。JPCERT/CCでも、実行ファイル形式のマルウエアをユーザが自ら実行することでマルウエアに感染した事例を確認しています。


一見して不審に見える実行形式の添付ファイルをわざわざ開いて実行してくれるほど無防備なユーザは数が限られるため、マルウエアに感染させるためには、多くの場合、添付ファイルを無害なファイルに偽装して、ユーザにファイルを開かせる手法が用いられます。その代表的な手法として、アイコンを一見無害に見える他のアイコンに偽装する方法があります。これまでの偽装は、図 1のようなアプリケーションごとに定義されたアイコンによって行われてきましたが、セキュリティ教育を受けたユーザを欺くことが難しくなりつつあります。

図 1: アイコンを偽装したマルウエアの例


今回は、Windowsの機能として比較的新しい縮小表示プレビューのアイコンによる、もう少し手の込んだ偽装について紹介します。

縮小表示プレビュー


Windows Vista以降、エクスプローラーで表示設定を「小アイコン」より大きくすることで図 2 header_logo.gif (左)のように「.jpg」や「.bmp」等の画像ファイルの縮小表示プレビューがアイコンの代わりに表示されます。また、画像ファイルだけでなく、一部のアプリケーションもコンテンツの内容をアイコンとして表示する機能を有しています。例えば、Microsoft PowerPointがインストールされている環境では、PowerPointプレゼンテーションも図 2 siryou.pptx (右)のように縮小表示プレビューが表示されます。更に、エクスプローラーの表示設定が「中アイコン」以上になると、縮小表示プレビューの右下にアプリケーションを示すアイコンをオーバーレイ表示することもできます。これらの表示に関する設定についてはAppendix Aを参照してください。

図 2: 縮小表示プレビューが表示されている画像ファイルheader_logo.gif(左)と
PowerPointプレゼンテーションsiryou.pptx(右)


縮小表示プレビューによって、ユーザはエクスプローラー上で簡易にファイルの概要を把握し、望みのファイルを選択することができます。

縮小表示プレビューに偽装したマルウエア

これまでにJPCERT/CCで確認したマルウエアには、図 3のような請求書や領収書を連想させる文書の縮小表示プレビューに偽装したアイコンを持つものがあります。このように縮小表示プレビューに偽装したアイコンを見せられたユーザの関心は、ファイルの種類ではなく、縮小表示されたコンテンツに注がれ、その妥当さからファイルを開いてもよいかどうかを判断してしまいがちです。

図 3: 文書または画像の縮小表示プレビューに偽装したマルウエア
(エクスプローラーで「中アイコン」表示した場合)



また、図 4のようにアプリケーションを示すアイコンがオーバーレイ表示されているかのように見えるアイコンで偽装したマルウエアも確認されています。見かけ上のアプリケーションアイコンの有無では、いくら注意して見ても、こうした偽装を見破ることはできません。

図 4: オーバーレイ表示されるイラストまで含んで偽装したマルウエア



中アイコン以外の表示設定ではどのように表示されるのでしょうか。図 5は「特大アイコン」表示で図 3と同じマルウエアを表示した例です。「malware1.exe」は特大アイコンサイズのアイコンが設定されていないため、中アイコンのサイズで表示されています。これにより、ユーザがマルウエアであると気付ける可能性があります。一方で、「malware2.exe」は特大アイコンサイズのアイコンも設定されているため、これだけではマルウエアであるかどうかは見分けられません。

図 5: 文書または画像の縮小表示プレビューに偽装したアイコンを設定したマルウエア
(エクスプローラーで「特大アイコン」表示した場合)


後者のようにアイコンが偽装されたマルウエアであっても、図 6のようにプロパティで「ファイルの種類」を確認するか、または図 7のようにエクスプローラーで表示設定を「詳細」にしてファイルの「種類」を確認して判断すれば、確実に誤認を防ぐことができます。

図 6: malware2.exe のプロパティ
図 7: 文書または画像の縮小表示プレビューに偽装したマルウエア
(エクスプローラーで「詳細」表示した場合)



おわりに
縮小表示プレビューの偽装に用いられるアイコンは、ファイルを開いて内容を確認する必要性を感じさせようと、メールの送付先や本文内容に即したコンテンツに見せかけて作成されます。ここで紹介した、請求書や領収書に見えるマルウエアは、比較的広く使用できるものと言えます。標的型攻撃においては、標的の組織や関連組織からの発行文書にもっともらしく見せかけた画像がアイコン偽装に使用されると考えられます。


今後は、このような攻撃が広く行われる可能性について注意を喚起し、文書や画像の内容がアイコンになっているように見えるファイルに惑わされることなく、当該ファイルを開く前にはファイルのプロパティを調べるなどして、ファイルの種類などを確認する用心深さを持たせるための教育が求められていると言えましょう。

分析センター 田中 洋平

Appendix A: フォルダー オプションで縮小表示に関連する項目

 
  1. 「縮小版にファイル アイコンを表示する」
    → チェックあり : アプリケーションのアイコンがオーバーレイ表示される (標準の設定)
    → チェックなし : アプリケーションのアイコンがオーバーレイ表示されない
  2. 「常にアイコンを表示し、縮小版は表示しない」
    → チェックあり : コンテンツの内容をアイコンとして一切使用しない
    → チェックなし : コンテンツの内容をアイコンとして使用する (標準の設定)

図 8: 「フォルダー オプション」の「表示」タブ


Appendix B: 検体のSHA-256ハッシュ値

  • malware1: 43cec9a519610592f58c216c7bd1d8a6859f0df506675e32e4834ad021604588
  • malware2:13b02346c79f79d85eb4c8a0ac4b455bb5e69ae25fae3001bdd2040ffb28eedf
  • malware3: 8605cb1ef0a1cdd89f38fac4e1964cf3f65c5f159edd3d2c5f8b64e93f1aeaee

≪ 前へ
トップに戻る
次へ ≫