縮小表示プレビューに偽装したアイコンを持つマルウェアに注意

JPCERT コーディネーションセンター(JPCERT/CC)は3月19日、『分析センターだより「縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19)」』を公開した。

JPCERT/CCは、Windowsの機能として比較的新しい「縮小表示プレビューのアイコン」による、手の込んだ偽装について説明を行った。

メールに添付されるマルウェアとして、実行ファイルもしくはその圧縮ファイルが主流となっているが、一見して不審に見える実行形式の添付ファイルを開くユーザーは少ないため、多くの場合、添付ファイルを無害なファイルに偽装して、ユーザーにファイルを開かせる手法が用いられている。

その代表的な手法として、アイコンを一見無害に見える他のアイコンに偽装する方法がある。これまでの偽装は、下図のようなアプリケーションごとに定義されたアイコンによって行われてきたが、セキュリティ教育を受けたユーザーを欺くことが難しくなりつつあるという。

Windows Vista以降、エクスプローラーで表示設定を「小アイコン」より大きくすることで下図のheader_logo.gifのように「.jpg」