画像Exif埋め込みを悪用する新攻撃手法が登場 Outlookで悪用可能:セキュリティニュースアラート
Webブラウザの画像キャッシュとExifメタデータを悪用し、外部通信を実行せずに二段階のマルウェアを展開するClickFixの新手法が見つかった。画像に埋めた暗号化ペイロードで検知やネットワーク監視を回避する危険性がある。
セキュリティ研究者のマーカス・ハッチンズ氏は2025年10月24日(現地時間)、画像キャッシュを利用してマルウェアを受動的に取得する新たな手法を公開した。
「ClickFix」や「FileFix」と呼ばれるソーシャルエンジニアリング型のフィッシングを発展させたこの手法は、Webブラウザのキャッシュ機能を悪用して二段階目のペイロードを取得する。研究者によると、この方法では第一段階のローダーが外部への通信をする必要がなく、結果としてネットワーク監視を中心とした多くのセキュリティ制御を回避できるとされている。
Outlookでも実行可能、画像Exif埋め込みで「開かず」にペイロードを配置する新手法
従来のClickFix攻撃は、偽のCAPTCHA画面などで被害者に「Windows」の「Win+R」ショートカットを押させ、「Ctrl+V」でクリップボードの内容を貼り付け、「Enter」でコマンドを実行させるものだった。攻撃者はWebページのJavaScriptであらかじめクリップボードに悪意のあるPowerShellコマンドを埋め込み、利用者がそれを実行するように誘導する。この仕組みを利用すれば、実行ファイルのダウンロードやスクリプト実行が可能になる。
しかしRunダイアログには260文字の制限があり、攻撃者は複雑なコマンドを組み込めない。そのため多くの攻撃において、PowerShellやMSHTAを使った単純なダウンローダーに依存しており、セキュリティ製品によって検知されやすい傾向にある。
FileFixはこれに対し、同様の手口をエクスプローラーのアドレスバーに適用した攻撃とされている。エクスプローラーのアドレスバーは最大2048文字を扱え、より長いスクリプトを埋め込むことが可能となっている。攻撃者はこの余裕を利用してコマンドに空白を挿入し、表面上は無害なパスを装う。今回このFileFix攻撃の派生型が発見された。
FileFix攻撃の派生型は「キャッシュスモーグリング(Cache Smuggling)」が組み込まれていたことが確認されている。キャッシュスモーグリングとは、HTTPヘッダを操作してWebブラウザに任意のファイルをキャッシュさせる手法で、本来は画像やCSSファイルなどの静的リソースを保存する仕組みを悪用する。
攻撃者は実行ファイルを「image/jpeg」としてサーバから送信し、Webブラウザのキャッシュに保存させる。この状態でPowerShellスクリプトがWebブラウザのキャッシュフォルダを探索し、埋め込まれたZIPファイルなどを解凍や実行する仕組みとなっている。
この方式において、ネットワーク通信せずにマルウェアが展開されるため、エンドポイント防御やファイアウォールのアラートをすり抜ける可能性が高いとハッチンズ氏は指摘している。
ハッチンズ氏はExifメタデータを利用した「Exif Smuggling」という改良版手法を提案している。Exifデータは画像に付随するメタ情報で、撮影日時やカメラ情報などを格納できる。JPEG形式では最大64キロバイトのデータを保持できるため、攻撃者はこの領域に暗号化されているペイロードを埋め込み、画像そのものは正常に表示されるように加工できるとしている。
Exifフィールドの中には、文字列型でヌルバイトを扱えるものがあり、この特性を利用すれば通常のExifビューアーでは途中までしか読み取られず、ペイロード部分は不可視になる。PowerShellスクリプトは正規表現でExif中の特定タグを検索し、隠されているデータを抽出できる。この方法によって作成されている画像は一見無害なJPEGとして機能し、アンチウイルスによるスキャンも回避しやすくなる。
研究者はこのExif SmugglingがWebブラウザ以外のアプリケーションにも影響を及ぼす可能性を示している。特に「Microsoft Outlook」の挙動に注目しており、同アプリが電子メールの画像添付をプレビューオフの状態でも自動的にキャッシュし、Exifデータを削除しないことを確認した。この動作により、攻撃者は特殊なJPEGをメールに添付するだけで、受信者の端末にペイロードを配置できる可能性があると指摘している。
この一連の仕組みにおいて、マルウェアの第二段階ペイロードが既にキャッシュを通じてシステム内に存在しているため、セキュリティ対策が想定する「外部通信によるダウンロード検知」や「コード埋め込み検出」が無効化される危険がある。スクリプトの挙動解析やキャッシュディレクトリの監視を強化し、キャッシュファイルに含まれるメタデータを無条件に保存しないような設計が求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アスクル、ランサムウェア感染の続報を公表 物流システムに深刻な影響
アスクルはランサムウェア感染により物流システムが停止し、受注・出荷業務を中断している。外部専門家を含む約100人規模で原因調査と復旧作業を進めている。個人情報流出は確認されていないが、引き続き調査が継続されている。
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
NISTが禁じたパスワード慣行、いまだ多数派 要件に逆行する企業の現実
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。
AWSの大規模障害はDynamoDBのDNS競合が引き金 詳細な技術報告を公開
AWSは2025年10月19日に発生した大規模障害について、DynamoDBのDNS管理システム内の競合状態に原因があったと報告した。同社は背景を説明し、再発防止のため自動化機構の改修と耐障害性強化策を講じる方針を示している。