Trend MicroのZero Day Initiative(ZDI)は3月18日(現地時間)、Windowsのショートカットファイル(.lnk)に存在するゼロデイ脆弱性「ZDI-CAN-25373」に関する詳細なレポートを発表しました(The Register)。
この脆弱性は、ショートカットファイルの表示に関する欠陥を悪用するもので、ユーザーは、気付かないうちに悪意のあるコードを実行する可能性があります。攻撃者は、.lnkファイル内に特殊なコマンドライン引数を埋め込むことで、Windowsのユーザーインターフェースに誤表示を引き起こします。このため、ユーザーは通常のショートカットを開いたつもりでも、実際にはマルウェアを実行してしまう可能性があります。
脆弱性は2017年以降、北朝鮮、ロシア、中国、イランを含む11の国家支援ハッキンググループによって悪用されおり、これらの攻撃は、データ窃取やスパイ活動を目的として、北米、南米、ヨーロッパ、東アジアなど世界各地で約1000件の悪用例が確認されているそうです。
重大な問題ですが、Microsoftはこの脆弱性を「修正対象外」と判断し、セキュリティパッチを提供しない方針を示しています。同社のセキュリティガイドラインでは、この問題が「即時対応すべき脆弱性」に分類されないためで、今後も攻撃が続く可能性が高いと指摘されています。
ユーザーが取るべき対策としては、不審な.lnkファイルを開かないこと、Windows DefenderやSmart App Controlを有効にすることなどが推奨されています。また、グループポリシーやレジストリ設定を変更して.lnkファイルの実行を制限する方法も考えられます。しかし、これらの対策は万能ではなく、攻撃者が新たな手法を用いた場合には回避される可能性もあるため、引き続き注意が必要です。
