8年間修正されていないWindowsのゼロデイ脆弱性が、国家攻撃者を含む複数のハッカーグループによって悪用されていることが明らかになった。Trend MicroのZero Day Initiative(ZDI)によると、この脆弱性「ZDI-CAN-25373」は悪意のあるショートカット(.lnk)ファイルを通じて攻撃を可能にし、データ窃取やスパイ活動に利用されている。

研究者によると、この脆弱性は2017年から確認されており、最近では約1000個の武器化された.lnkファイルが発見された。特に北朝鮮、ロシア、イラン、中国の攻撃者が関与し、政府機関や金融機関が標的になっているという。しかし、Microsoftはこの問題を「重大ではない」と判断し、公式な修正パッチの提供は予定されていない。

専門家は、この脆弱性が放置されることでさらなる被害が拡大すると警告している。今後のWindowsアップデートでの対応が求められるが、現時点では被害を防ぐための具体的な対策がユーザー自身に委ねられている。

8年間修正されなかったWindowsのゼロデイ脆弱性とは

この脆弱性「ZDI-CAN-25373」は、Windowsのショートカットファイル(.lnk)を悪用するもので、ユーザーがファイルを開くことで意図せずに悪意のあるコードが実行される。Trend MicroのZero Day Initiative(ZDI)によると、このバグは2017年から確認されており、8年間修正されないまま放置されていた。

攻撃者は.lnkファイル内に隠されたコマンドを仕込み、これをターゲットに開かせることで、情報窃取やスパイ活動を行うことが可能になる。この手法は、政府機関や企業を狙う高度な攻撃グループによって多用されており、特に北朝鮮、ロシア、イラン、中国の国家攻撃者がこの脆弱性を活用していたとされる。

Microsoftはこの問題を「ユーザーインターフェースの仕様」に関わるものであり、セキュリティリスクとしては「重大ではない」と判断。結果として公式な修正パッチは提供されていない。だが、攻撃の規模や影響の大きさを考えれば、単なる「UIの問題」として片付けるにはあまりにもリスクが大きいと言える。

Microsoftの対応が物議 国家攻撃者の悪用を防げるのか

この脆弱性の発見を受け、ZDIのダスティン・チャイルズ氏はMicrosoftの対応を批判。報告を受けたにもかかわらず、同社はこの問題を深刻な脅威とは認識せず、すぐに修正する予定はないという見解を示した。

Microsoftの立場としては、深刻度評価の基準において直ちに修正が必要なレベルには達していないと判断された形だ。しかし、実際には国家レベルの攻撃に利用されており、その被害範囲は政府機関から企業まで広がっている。これほど大規模に悪用されているにも関わらず、セキュリティアップデートが提供されないことに、専門家やセキュリティ研究者からの批判が強まっている。

今後、Windowsの機能アップデートで修正される可能性はあるものの、現時点では明確な対応計画は示されていない。Microsoftの対応が遅れれば、被害はさらに拡大し、より多くの組織や個人が標的になる可能性がある。ユーザー側での対策が求められる状況が続いている。

ユーザーが取るべき対策 安全を守るためにできること

現在のところ、この脆弱性に対する公式な修正パッチは提供されていないため、ユーザー自身がリスクを回避するための対策を講じる必要がある。まず、見知らぬ.lnkファイルを開かないことが基本となる。特に、不審なメールの添付ファイルや、信頼できないウェブサイトからダウンロードされたショートカットは警戒すべきだ。

また、Windowsのグループポリシーを活用し、ショートカットファイルの自動実行を無効にすることも一つの対策となる。さらに、最新のセキュリティソフトを導入し、リアルタイムでの脅威検知を強化することが推奨される。ZDIの報告によれば、この脆弱性を悪用した攻撃の70%が国家レベルの攻撃者によるものだが、残りの30%は金銭目的のハッカーグループによるものであり、個人ユーザーも被害に遭う可能性がある。

Windowsの今後のアップデートで修正される可能性はあるものの、それがいつになるかは不透明な状況だ。ユーザーとしては、すぐにできる防御策を取り、攻撃のリスクを最小限に抑えることが重要だ。

Source:TechRadar