北朝鮮、ロシア、中国、イランを含む11の国家支援ハッキンググループが、2017年以降、Windowsの新たなゼロデイ脆弱性「ZDI-CAN-25373」を利用し、データ窃取やスパイ活動を行ってきたことが明らかになった。

この脆弱性はWindowsのショートカット(.lnk)ファイルの表示上の欠陥を突くもので、悪意のあるコードをユーザーに気付かれずに実行できる。しかし、マイクロソフトは「修正対象外」と判断し、セキュリティパッチを提供しない方針を示している。

すでに約1000件の悪用例が確認され、標的は北米、南米、ヨーロッパ、東アジアなど世界各地に及ぶ。情報窃取目的の攻撃が大半を占めるが、金銭目的のものも確認されており、影響は拡大し続けている。

Windowsゼロデイ脆弱性「ZDI-CAN-25373」の実態と攻撃手法

2017年から悪用されてきたWindowsのゼロデイ脆弱性「ZDI-CAN-25373」は、ショートカットファイル(.lnk)の表示の仕組みを悪用するものだ。この脆弱性を突くことで、攻撃者はショートカットファイル内に隠された悪意のあるコードをユーザーに気づかれずに実行させることが可能となる。

具体的には、.lnkファイルに埋め込まれた「空白文字を含む特殊なコマンドライン引数」によって、WindowsのUIが誤表示を引き起こす。この結果、ユーザーが通常のショートカットファイルを開いたつもりでも、実際には攻撃者が仕込んだスクリプトやマルウェアが実行される。発見された攻撃手法には、スペース(\x20)やタブ(\x09)などの不可視文字を駆使したものがあり、一般の利用者には極めて見破りにくい。

Trend MicroのZero Day Initiative(ZDI)による報告では、少なくとも1000件の攻撃が確認されているが、実際の被害はそれをはるかに上回る可能性があるという。この脆弱性を悪用した攻撃者には、北朝鮮のAPT43、ロシアのEvil Corp、中国のMustang Pandaなどが含まれ、標的は北米、南米、ヨーロッパ、東アジアと広範囲に及ぶ。特に、政府機関や企業ネットワークを標的としたスパイ活動に利用されるケースが多く、被害の全容はまだ明らかになっていない。

マイクロソフトが修正を拒否した理由とその影響

「ZDI-CAN-25373」について、マイクロソフトは修正対応を行わない方針を示している。Trend Microの研究者がゼロデイの概念実証(PoC)エクスプロイトを報告したものの、2023年9月に同社は「修正対象にはならない」と判断。これにより、公式なセキュリティアップデートは提供されないことが決定した。

マイクロソフトの声明によれば、同社のセキュリティガイドラインではこの問題は「即時対応すべき脆弱性」に分類されないという。しかし、この決定がもたらす影響は大きい。脆弱性が修正されないまま放置されることで、国家支援ハッカーやサイバー犯罪グループによる悪用が今後も続く可能性が高い。既に確認されている攻撃手法は巧妙化しており、セキュリティソフトだけでは完全な防御が困難なケースも多い。

また、過去にはマイクロソフトが類似の脆弱性「CVE-2024-43461」に対し、2024年9月の「Patch Tuesday」で修正を行った実績がある。これに対し、「ZDI-CAN-25373」が対応外とされたことについては、一貫性の欠如が指摘される可能性がある。マイクロソフトは代替策として、Windows DefenderやSmart App Controlの活用を推奨しているが、根本的な問題を解決するものではない。

ユーザーがとるべき対策と今後のリスク

マイクロソフトがパッチを提供しない以上、ユーザー側で対策を講じる必要がある。まず、不審な.lnkファイルを開かないことが重要だ。特に、信頼できない送信元から受け取ったショートカットファイルは警戒するべきである。また、グループポリシーやレジストリ設定を変更することで.lnkファイルの実行を制限する方法も考えられる。

次に、Windows Defenderのリアルタイム保護を有効化し、最新の脅威情報に基づくマルウェア検出機能を最大限活用することが推奨される。さらに、Smart App Controlを有効にすることで、インターネットからダウンロードされた悪意のあるファイルの実行を制限できる。しかし、これらの対策は万能ではなく、攻撃者が新たな手法を用いた場合には回避される可能性もある。

今後、国家支援のサイバー攻撃がより巧妙化することが予想される中で、ユーザー自身が脆弱性の情報を把握し、適切な対策を講じることが求められる。企業や組織においても、エンドポイントの監視を強化し、不審な.lnkファイルの流通を制限する体制を整えることが不可欠となるだろう。

Source:BleepingComputer