ZIPファイルの連結手法でマルウェアを隠蔽 Windowsユーザーは要注意：セキュリティニュースアラート

Perception Pointは新たなトロイの木馬攻撃を報告した。ZIPファイルの連結手法を通じて悪意のあるペイロードが配信されていることを明らかにしている。

[後藤大地，有限会社オングス]

　Perception Pointは2024年11月7日（現地時間）、「Windows」ユーザーを標的にした新たなトロイの木馬攻撃について伝えた。「ZIPファイルの連結（ZIP file concatenation）」と呼ばれる手法を通じてトロイの木馬を含むZIPファイルを配信するサイバー攻撃が確認されている。

ZIPファイルの連結手法で隠蔽を図る攻撃テクニックに注意

　ZIPファイルは複数のファイルを圧縮してまとめる用途で広く利用されているが、Perception Pointによると、その柔軟な構造がセキュリティの脆弱（ぜいじゃく）性として作用するという。

　ZIPファイルの連結、ファイル構造や圧縮展開ツールの動作の違いを悪用し、複数のZIPファイルを単一ファイルのように見せかける攻撃手法とされている。脅威アクターはこの手法を悪用して悪意のあるペイロードを配信していることが分かった。

　Perception Point「ZIPファイルの連結は使用するZIPリーダーによって挙動が異なる」と報告している。例えば「7-Zip」では無害なファイルしか表示されず、悪意のあるファイルは見逃されてしまう。一方で「WinRAR」ではアーカイブされている全てのファイルが表示される。Windowsファイルエクスプローラーでは連結されたZIPファイルの読み込みに問題が発生する場合があり、特定のファイルが認識されないことがあるという。

　確認された攻撃では運送会社を装ったフィッシングメールが使われている。電子メールには「SHIPPING_INV_PL_BL_pdf.rar」というファイルが添付されており、拡張子はRARだが実際には連結されたZIPファイルであることが判明している。このファイルを7-Zipで開いた場合は無害なファイルのみが表示されるが、WinRARやWindowsファイルエクスプローラーで開いた場合は隠された悪意のある実行ファイル「SHIPPING_INV_PL_BL_pdf.exe」も含めて表示されることが報告されている。

　この実行ファイルはAutoItスクリプト言語を使用してさまざまな悪意のあるアクティビティーを実行するトロイの木馬とされ、追加のペイロードのダウンロードおよびそのペイロードの実行など、悪意のあるタスクを自動で実行するよう設計されている。

　Perception Pointの研究者は今回の攻撃について、7-Zipの開発者に挙動を説明しているが、現時点で仕様変更の予定はないため、攻撃者が今後も同様の手法を続ける可能性がある。セキュリティベンダーやユーザーはZIPリーダーごとの挙動が異なることを理解するとともに、アーカイブファイルを操作する際は細心の注意を払うことが推奨される。