狙われるWindowsのショートカットファイル、でもMicrosoftが修正を拒む理由とは

ソフトウェアの脆弱性は発見されて即座にパッチが配布されるわけではない。Windowsで見つかったある脆弱性の例を紹介しよう。

[Elizabeth Montalbano，Cybersecurity Dive]

　ソフトウェアには脆弱（ぜいじゃく）性がつきものだ。数億行のコードからなるWindowsのような大規模なソフトウェアであればなおさらだ。Microsoftは大量の脆弱性に優先順位を付けて、順番に修正している。

　だが、Microsoftの優先順位が適切でない場合には、どのような影響が生じるのだろうか。Windowsのショートカットファイルにおいて発見された脆弱性がその一例だ。

狙われるWindowsのショートカットファイル

　2017年以降、国家から支援を受ける少なくとも11の脅威グループが、このゼロデイ脆弱性を悪用している。さまざまな業界の組織がデータを窃取されたり、スパイ活動にさらされたりしている。

　この脆弱性を発見したのはTrend Microのセキュリティ研究プログラム「Trend Zero Day Initiative」（ZDI）に属する研究者たちだ。約1000件の悪質なWindowsのショートカットファイル（.lnkファイル）を特定しており、攻撃者は加工されたショートカットファイルを利用して被害者のデバイスで悪質なコマンドを秘密裏に実行できるという。Trend Microはこの脆弱性を「ZDI-CAN-25373」と分類した。

　Trend Microは2025年3月18日、自社のWebサイトに次のように記述した（注1）。

　「この脆弱性を悪用して、攻撃者は被害者に配信するための悪質な.lnkファイルを準備できる。Windowsが提供するユーザーインタフェースを使用してファイルを調査してもうまくいかない。被害者はファイルに悪質な内容が含まれているかどうか分からない」

　攻撃者が配信する不正ファイルには、被害者の情報を盗むように設計された「Lumma infostealer」やキーストロークの記録やスクリーンショットの取得といった機能を備える「Remcos remote access Trojan」などのさまざまな不正プログラムが含まれており、組織をデータ窃盗やサイバースパイ活動のリスクにさらす。

　この脆弱性に対する攻撃の背後には、北朝鮮やイラン、ロシア、中国から支援を受けるグループの他、非国家関連組織が存在しており、北米や欧州、アジア、南米、オーストラリアの政府や金融、通信、軍事、エネルギー分野に所属する組織が被害を受けている。

　攻撃者の45.5％は北朝鮮に関連する。イランとロシア、中国からの攻撃はそれぞれ約18％だった。攻撃の実行者として特定されたグループには「Evil Corp」「Kimsuky」「Bitter」「Mustang Panda」のようにすでに広く知られており、重大な脅威活動を続けるグループが含まれていた。

なぜMicrosoftは脆弱性に対応しないのか

　Trend Microによると、これまでMicrosoftはこの脆弱性の修正に対応していないという。Trend Microはバグに関連するZDIの報奨金プログラムを通じて、Microsoftに概念実証で使ったプログラムを提出した。Trend Microは脆弱性の発見に至るまでのタイムラインに関するコメントを求めたが、Microsoftはすぐに応答しなかった。

　Trend Microが述べたように、Microsoftは現時点でこの脆弱性に対処しないという姿勢をとっている。Microsoftの広報担当者は、2025年3月19日に次のように述べた。

　「重大度を分類する当社のガイドラインに照らし合わせたところ、この脆弱性は即時の対応を必要とする基準に達していない。そのため将来の機能のリリースの際に対処を検討する」（注2）

　Microsoftによれば「Microsoft Defender」を利用することで脅威活動を検出してブロックできる。「Windows 11」に搭載されたセキュリティ機能「Windows Smart App Control」を用いることで、インターネットからの悪質なファイルのダウンロードをブロックできるという。さらに、Windowsでは、.lnkのショートカットファイルを潜在的な危険を伴うファイルだと設定されており、ユーザーがダウンロードを試みた際、システムが自動で警告を発するという。

Microsoftの判断は正しいのか

　セキュリティ企業のBlack Duckにおいて、レッドチームのプラクティスディレクターを務めるトーマス・リチャーズ氏（プリンシパルコンサルタント）は次のように述べた。

　「積極的に悪用されている脆弱性が長期にわたって修正されずにいるのは『異常』だ。通常は、短期間のうちに修正されるものだ」

　国家安全保障局（NSA）の元コンピューターネットワークオペレーターのエヴァン・ドーンブッシュ氏は、「正当な理由に基づいてベンダーが脆弱性を修正しない場合もある。だが、直近の悪用に備えることが難しい企業や、緩和策を構築するための明確な指針が得られない組織にとってはフラストレーションが収まらないだろう」

　セキュリティプロバイダーのAppSOCのマリ・ゴラントラ氏（チーフサイエンティスト兼共同創設者）は次のように述べた。

　「修正する対象の順位付けが難しいケースもある。だが、Microsoftは本件に関する対応を明らかに誤った」

　Trend Microによると、このような状況下では企業が自らの手で脆弱性を軽減すべきだという。悪用の可能性がある脆弱性をスキャンし、怪しい.lnkファイルに注意を払い、エンドポイントとネットワークを総合的に保護しなければならない。脅威を検出し、対応する体制の整備が求められる。

出典：11 nation-state groups exploit unpatched Microsoft zero-day（Cybersecurity Dive）
注1：ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns（TrendMicro）
注2：Microsoft Vulnerability Severity Classification for Windows（Microsoft）

原文へのリンク