MicrosoftのクラウドサービスOneDriveやSharePointなどで、ユーザーがアップロードしたパスワードで保護されたZIPファイルのスキャンが行われていると報じられています(gHacks)。
従来、マルウェアを配布するためには、ZIPやRARなどのアーカイブファイルが使用されてきましたが、現在ほんとどのセキュリティソフトウェアはアーカイブファイルのスキャンに対応し、攻撃に使用されるアーカイブファイルはパスワードで保護されるようになっています。
セキュリティ研究者のAndrew Brandt氏は月曜日、MicrosoftがSharePoint上でパスワードで保護されたZIPアーカイブのスキャンを開始したことを明らかにしました。Brandt氏は、Microsoftが、パスワードで保護されたZIPアーカイブに含まれる、マルウェアサンプルのいくつかをマルウェアと判定し始めたことに気がついたのです。
Brandt氏は、マルウェアのサンプルを同僚と共有するためにSharepointを使用。同僚のセキュリティ研究者であるKevin Beaumont氏は、Microsoftが既知のパスワードのリストを使用して、パスワードで保護されたアーカイブにアクセスし、スキャンしようとしていると返信しています。
Microsoftはロック解除のため、電子メールの本文やファイル名をスキャンしてパスワードを検出し、使用することもあるそうです。
すなわち、パスワードで保護されたZIPファイルをMicrosoftのクラウドサービスで使用すると、パスワードリストに含まれるパスワードを使用したり、ファイル名や添付メッセージにパスワードを含んでいる場合、スキャンが行われることになります。
アーカイブに含まれるファイルをスキャンされたくない場合、ファイルフォーマットの変更や、暗号化方式の変更(7-ZipのAES-256暗号化など)を行い、強力なパスワードを使用することでスキャンをブロックすることが可能になると見込まれます。
