破損ファイルを悪用した“ゼロデイ”フィッシング攻撃に要注意 検知回避狙いか：セキュリティニュースアラート

ANY.RUNは、意図的に破損させたファイルを使用してセキュリティツールの検知を回避する新たなフィッシングキャンペーンを発見した。悪意のある電子メールが届いてしまうリスクがあるため注意してほしい。

[後藤大地，有限会社オングス]

　ANY.RUNは2024年11月25日（現地時間）、攻撃者が意図的に破損させたファイルを利用してセキュリティツールの検知を回避する新たなフィッシングキャンペーンを展開していると報告した。ANY.RUNはこの新たなサイバー攻撃を潜在的なゼロデイ攻撃の一環と評価している。

　この攻撃ではファイルを意図的に破損することでウイルス対策ソフトウェアやサンドボックスにアップロードおよび解析できないようにしている。さらに「Microsoft Outlook」のスパムフィルターもすり抜けるとされ、悪意のある電子メールがユーザーの受信トレイに届いてしまうリスクがあるという。

破損ファイルにご用心　検知回避を狙うフィッシングキャンペーンが流行か

　ANY.RUNによると、従来のセキュリティツールがこの攻撃を検知できない理由として、破損したファイルが通常の手順では解析不可能であるためとしている。これらのファイルは「VirusTotal」にアップロードされたが、全てのウイルス対策ソリューションで「クリーン」または「アイテムが見つからない」と判定され、適切に解析することができなかったと報告されている。

　破損したファイルは、ZIPアーカイブや「Microsoft Office」ファイル（.docxなど）として識別される場合が多い。セキュリティソリューションは通常これらのファイルをスキャンしようとするが、アーカイブ内に実際のデータが含まれていないためスキャンプロセスが正常に開始しない。その結果、攻撃者はファイル内に隠された脅威を検知されることなく実行できる。

　この他、Microsoft Outlookや「Microsoft Word」「WinRAR」などのアプリケーションに組み込まれた回復機能が悪用されており、破損したファイルはセキュリティツールでは検知されない一方、これらのプログラムからは問題なく開ける。このような仕組みによって攻撃者はユーザーの操作を誘発し、悪意のあるコードを実行できるとしている。

　同社の調査によると、このキャンペーンは数カ月前から続いており、最初の事例は2024年8月にまでさかのぼるという。企業や個人ユーザーは電子メールの添付ファイルを開く際には注意するとともに、不審なメールは開かず破棄することや信頼性が確認できないファイルを扱わないなどの基本的なセキュリティ対策を実施することが推奨される。