お問い合わせ
会社のパソコンでZIPファイルを開いた後に、ファイルが勝手に生成・削除される、スパムメールが急増するといった症状が発生した場合、マルウェア感染が進行している可能性があります。
放置すると、社内ネットワーク全体への感染拡大や、顧客情報の流出による信用失墜・法的リスクに発展するおそれがあります。異常が確認された時点で、専門の調査会社による情報漏えい調査や感染範囲の特定を行うことが、被害の拡大を防ぐための確実な対策になります。
この記事では、ZIPファイルを悪用した攻撃の手口や感染の仕組み、安全に扱うためのポイントについてわかりやすく解説します。
目次
ZIPファイルを悪用してマルウェアを拡散する手法
ZIPファイルは、複数のファイルをまとめて送信できる便利な形式ですが、近年ではマルウェアの拡散手段としても悪用されるケースが増えています。以下は、攻撃者が多用する代表的な手口です。
パスワード付きZIPでウイルス検知を回避
パスワード付きZIPは中身が暗号化されており、ウイルス対策ソフトやメールゲートウェイではパスワードがない限り中身をスキャンできません。
攻撃者はこの特性を悪用し、マルウェアを含むファイルをパスワード付きZIPで送信し、「パスワードは別送します」と案内して受信者に展開させようとします。ZIPファイルが暗号化されていることで、セキュリティチェックをすり抜けやすくなる点がこの手法の最大の狙いです。
ソーシャルエンジニアリングで開封を誘導する
日本では、パスワード付きZIPとパスワードを別送する「PPAP方式」が一部の組織で使われています。攻撃者はこの習慣を悪用し、実在の取引先を装ったメールにZIPファイルを添付し、『至急』『支払確認』『人事通知』など業務でよく使われるワードで開封を促します。
受信者は、業務連絡に見えるメールのため、疑うことなくZIPファイルを展開してしまうケースが多く、中に何が入っているかを確認する前に感染のリスクにさらされることになります。
暗号化ZIPでセキュリティ対策をすり抜ける
AESなどの強力な暗号化を施したZIPファイルや、階層化・大容量構成のZIPが使われることで、セキュリティ製品によるスキャンを回避する攻撃も確認されています。
一部の攻撃では、ZIPファイルの仕様に対する解釈の違い(ZIPパーサーの差)を突き、特定の製品では正常に検出されない構造を意図的に設計する例も見られます。
自己解凍型(SFX)ファイルを使った感染拡大
SFX(自己解凍型)ZIPファイルは、実行するだけで中身を展開できる.exe形式の圧縮ファイルです。攻撃者はマルウェアを仕込み、「ZIPファイルを開いてください」と案内して実行を促します。
特にWindows環境では、拡張子が非表示になっていると「請求書.zip.exe」が「請求書.zip」に見えるため、実行ファイルと気づかずに開いてしまうケースがあります。
さらに、アイコンがZIPフォルダに似せてあることも多く、見た目では判別が難しい点も危険です。SFXファイルは展開と同時にマルウェアを自動実行できるため、使用者が「解凍しただけ」のつもりでも、裏で感染が始まっている場合があります。
ZIPファイルに仕込まれるマルウェアの代表的な手口
ZIPファイルを使ったマルウェア拡散で特によく使われるのが、以下の2つの手口です。いずれも受信者の油断や判断ミスを突くもので、見た目では判断しづらいため注意が必要です。
実行ファイルを無害なファイルに偽装する
攻撃者は、マルウェア本体(.exeファイルなど)を、PDFやWord文書のように見せかけて偽装します。たとえば「請求書.pdf.exe」や「画像.jpg.scr」といったファイル名を使い、アイコンも文書や画像風に変更。特にWindowsでは拡張子の非表示が初期設定になっているため、ユーザーが見た目で判断できず、誤って実行してしまうリスクが非常に高い手口です。
マクロ付きOfficeファイルをZIPに仕込んで感染させる
WordやExcelに埋め込まれたマクロ(VBA)を使って、ウイルスをダウンロード・実行させる手法です。マクロ機能自体は業務でも使われますが、攻撃者は悪用し、ファイルを「請求書」「見積書」など業務連絡風に装います。受信者がZIPを解凍し、ファイルを開いて「コンテンツの有効化」「編集の有効化」を許可することでマルウェアが裏で実行されます。
いずれの手口も、ZIPファイル内に一見無害なファイルを装い、実際には危険なコードを仕込む点が共通しています。「拡張子」「発信元」「内容の違和感」に気づいていながらも、添付ファイルを解凍した覚えがある場合は、マルウェアがすでに作動している可能性が高く、情報漏えいのリスクも否定できません。
このような状態を放置すると、社内ネットワーク全体への感染拡大や、外部への情報送信、機密データの流出といった深刻な被害に発展するおそれがあります。専門家による情報漏えい調査やマルウェア感染調査を通じて、早期に感染の有無や影響範囲を明確にすることが、被害の拡大を未然に防ぐ有効な対策につながります。
\24時間365日 相談・見積無料/
ZIP経由で拡散される代表的なマルウェア一覧
近年のサイバー攻撃では、ZIPファイルを悪用してマルウェアを拡散する手法が多く確認されています。ここでは、代表的なマルウェアとその特徴を簡潔にまとめます。
QakBot(QBot)
QakBotは、バンキング型マルウェアの代表格で、2025年現在も活動が続いています。ZIP+LNKファイルやJavaScriptファイルを使った攻撃手法が主流で、感染後は情報の窃取や、ランサムウェア展開の踏み台としても使われます。実際の被害報告も多数あり、企業・個人を問わず警戒が必要です。
参考資料:Zscaler
AsyncRAT Reloaded
AsyncRATは、ZIPファイルを通じて配布される遠隔操作型マルウェア(RAT)です。
実行ファイルやスクリプトを偽装して展開され、感染後はC2サーバと通信して端末を完全に遠隔操作可能にします。キーロガー、カメラの監視、ファイルの送受信など、機能が非常に豊富です。
参考資料:Forcepoint
SmokeLoader(スモークローダー)
SmokeLoaderは、主にZIPファイルで配布される「マルウェアローダー」です。
単体では攻撃を行わず、感染後に他のマルウェア(例:FormBook、LokiBotなど)を次々とダウンロードして展開します。特に企業ネットワーク内での「中継地点」として悪用されることが多く、被害の連鎖を引き起こすリスクがあります。
参考資料:Fortinet
Emotet(エモテット)
Emotetは、かつて世界的に拡散されたマルウェアで、ZIPファイルとマクロ付きWord文書を組み合わせた手口が主流でした。現在は一時的に沈静化していますが、断続的に再出現しており、OneNoteファイルを悪用するなど、新たな手法に変化する傾向も見られます。
※現在は大規模な流行は見られませんが、今後の再拡大に注意が必要です。
参考資料:サイバーセキュリティ情報局
IcedID(BokBot)
IcedIDは、過去にEmotetやQakBotと連携して被害を拡大させたローダー型マルウェアです。ZIPファイル経由で感染し、情報窃取やさらなるマルウェアの導入に使われます。現在は活動が落ち着いていますが、一部の標的型攻撃では依然として利用されるケースがあります。
※現在は大規模な流行は見られませんが、今後の再拡大に注意が必要です。
参考資料:proofpoint
その他のトロイの木馬型マルウェア
以下のような情報窃取型マルウェアも、ZIP+実行ファイルやスクリプト形式で大量にばらまかれています。
- Agent Tesla:キーロガー・クリップボード監視機能付きのスパイウェア
- FormBook:ID・パスワード情報を窃取し、C2へ送信
- RedLine Stealer:ブラウザに保存された情報や暗号資産ウォレットを盗む
単体では脅威レベルが限定的なマルウェアでも、他のマルウェアと組み合わされることで深刻な被害につながるケースがあります。
ZIPファイルの安全性を確認する6つの方法
マルウェア感染のリスクを避けるには、ZIPファイルを開く前の確認が欠かせません。以下の5つの方法を通じて、ファイルの安全性を判断しましょう。
①送信元・出所を必ず確認する
ZIPファイルを受け取った際は、まず送信元が信頼できる相手かどうかを必ず確認してください。送信者が不明、あるいは普段やり取りのない相手からのZIPファイルは特に注意が必要です。パスワード付きZIPの場合は、パスワードの伝達方法や送信者の意図も含めて慎重に確認しましょう
②ZIPファイルを開く前にウイルススキャンを行う
ZIPファイルを展開(解凍)する前に、ウイルス対策ソフトでスキャンしましょう。多くのセキュリティソフトは圧縮ファイル内のウイルスチェックに対応していますが、パスワード付きZIPはスキャンできない場合があるため、特に、信頼できない送信元から届いたファイルや、パスワードが別メールで送られてくるファイルには警戒が必要です。
③解凍後のファイルも必ず再スキャンする
パスワード付きZIPや暗号化ZIPの場合、ウイルス対策ソフトが解凍前に中身を検査できないことがあります。そのため、ZIPを解凍した後、展開されたファイル一つひとつを再度ウイルススキャンしてください。これにより、マルウェアの混入をより確実に防げます。
④オンラインスキャンや専用ツールを活用する
VirusTotalやVirSCAN.orgなどの無料オンラインスキャンサービスを利用すれば、複数のセキュリティエンジンでファイルを一括チェックできます。ZIPファイルや解凍後のファイルをアップロードして検査し、疑わしい場合は開かず削除するのが安全です
⑤仮想環境やサンドボックスで確認する
どうしても内容を確認したい場合は、Windows Sandboxなどの仮想環境やサンドボックスを活用しましょう。万が一マルウェアが含まれていても、ホストPCへの感染リスクを最小限に抑えることができます。仮想環境は使い捨てでリセットできるため、安全な検証手段として有効です。
⑥フォレンジック調査で確認する
通常のウイルススキャンやファイル確認だけでは、マルウェア感染の有無や被害範囲を正確に判断するのは難しいケースがあります。とくに最近のマルウェアは、powershell.exe や svchost.exe など、正規のWindowsプロセスを装って動作する手口が増えており、一般的な検知では見逃されるリスクが高くなっています。
すでに社内で複数の端末に同時に異常が発生している場合や、社用パソコンで明らかな挙動不審が確認されている場合は、専門機関によるフォレンジック調査を通じて、客観的に状況を把握することが不可欠です。
フォレンジック調査とは
警察の捜査や裁判の証拠提出にも使われる高度な手法です。感染の原因、被害の範囲、改ざんや情報漏えいの有無など、一般的なツールでは確認できない情報を専門技術で解析することができます。
特に以下のような項目を対応することができます。
- 証拠となるデータ保全
- 感染経路の特定と被害範囲の把握
- 情報漏えいの有無や外部送信先の解析
- 調査報告書作成(インシデント対応や社内報告に活用)
- 今後の再発防止策の策定支援
専門家によるマルウェア感染調査や情報漏えい調査を通じて、早期に感染の有無や影響範囲を明確にすることが、被害拡大を防ぐためのもっとも有効な対応です。
自力で対応できない場合はフォレンジック調査の専門業者に依頼する
ハッキングや不正アクセス、ウイルス感染、情報漏えいなどの問題が起きた際、自分だけでの対応が難しいと感じたら、迷わずフォレンジック調査の専門業者に相談しましょう。
どこから侵入され、どんな情報が漏れたのかを正しく把握することが重要です。特に、被害が大きい場合や情報が悪用された疑いがある場合は、専門家によるフォレンジック調査を実施することで、被害の拡大を未然に防ぐ有効な対策につながります。
信頼できる業者を選び、早めに動くことが、トラブルを最小限に抑えるポイントです。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
\24時間365日 相談・見積無料/
ZIPファイル経由のマルウェア感染を防ぐための6つの対策
ZIPファイルのリスクを継続的に抑えるために、日常的に取り組むべき対策を紹介します。
不審なZIPファイルは開かない
送信元が不明、内容に心当たりがない、あるいは普段やり取りのない相手から届いたZIPファイルは絶対に開かないようにしましょう。業務メールを装った巧妙なフィッシングも多いため、「急ぎ」「重要」などの文言にも注意が必要です。
パスワード付きZIPファイルには特に注意する
パスワード付きZIPファイルは、ウイルス対策ソフトによる自動スキャンを回避するために悪用されやすいです。パスワードが別メールで送られてきた場合や、パスワードの伝達方法が不自然な場合は特に警戒してください。
ZIP内のファイルはウイルススキャンを徹底する
ZIPファイルを解凍する前後で必ずウイルススキャンを実施しましょう。パスワード付きや暗号化ZIPの場合は、解凍後のファイルも一つずつ個別にスキャンすることが重要です。VirusTotalなどのオンラインサービスも併用するとより安心です。
圧縮・解凍ソフトの脆弱性対策を実施する
ZIPファイルを扱う圧縮・解凍ソフトにも脆弱性が発見されることがあります。常に最新バージョンへアップデートし、不要なソフトはアンインストールしましょう。特に7-ZipやWinRARなどの有名ソフトは定期的に脆弱性情報を確認してください。
ZIPファイルのパスワード管理に注意する
業務でZIPファイルを利用する場合、パスワードの使い回しや安易な共有は避けましょう。パスワードは強固なものを設定し、第三者に漏れないよう厳重に管理してください。また、パスワードをメールで送る場合は、同じメールで送らないなど運用にも注意が必要です。
社内教育と運用ルールを徹底する
ZIPファイル経由のマルウェア感染を防ぐには、個人の注意だけでなく組織全体のセキュリティ意識向上が不可欠です。定期的なセキュリティ教育を実施し、ZIPファイルの取り扱いルール(例:パスワード付きZIPの受信禁止、メール添付ファイルの自動検疫など)を明確にして徹底しましょう。
ほか日常でも実行できる対策法を以下の記事に解説しています。
まとめ
ZIPファイルを安全に扱うには、開く前の確認と日常的な対策の両方が重要です。送信元の確認やウイルススキャンに加え、パスワード管理や社内ルールの整備を徹底しましょう。不審な動作が見られた場合は、早めに専門会社に相談することで、被害拡大を防げます。
