マルウェアは、主に不審なファイルを開けたり実行することで感染します。特に近年では、ファイルの拡張子を偽装し、画像や文書ファイルに見せかけて利用者を騙す手法が増加しています。
一見すると安全そうなファイルでも、裏ではマルウェアが仕込まれているケースがあり、十分な注意が必要です。こうした巧妙な攻撃から身を守るには、仕組みを理解し、正しい対策を講じることが重要です。
本記事では、ファイル拡張子を偽装するマルウェアの代表的な手法と、感染を防ぐための具体的な対策をわかりやすく解説します。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
目次
ファイル拡張子とは
ファイルの拡張子とは、ファイル名の末尾に「.(ドット)」で区切って付けられる短い文字列で、そのファイルの種類や形式を示すものです。
例えば「document.txt」の「.txt」が拡張子で、これはテキストファイルであることを表します。
マルウェアに拡張子が狙われやすい理由は?
マルウェアが狙うファイルの拡張子には、以下のような特徴があります。
- 利用者の認識ミスを狙える
- OSやアプリの挙動を利用して自動実行させる
- メールやチャットで普段使われるファイル形式を偽装
上記要因により、使用者が誤ってファイルを開いてしまうリスクが高くなります。
実際に狙われやすい拡張子のカテゴリーの例は以下の通りです。
| カテゴリ | 代表的な拡張子 |
|---|---|
| 実行ファイル系 | .exe, .scr, .bat |
| Office文書 | .doc, .docx, .xls, .xlsx, .ppt, .pptx, .docm, .xlsm |
| 圧縮ファイル | .zip, .7z, .rar |
| PDFファイル |
ファイル拡張子を偽装するマルウェアの手法
マルウェアの作成者は、悪意あるファイルを利用者のデバイスで実行させるために、拡張子の表示や見た目を巧妙に偽装します。
とくにWindowsの環境では、初期設定で拡張子が非表示となっており、ファイルの種類を正確に把握することが困難です。Windowsの特性を悪用し、実行ファイル(.exeや.scrなど)を安全な文書ファイル(.pdfや.txtなど)に見せかける手口が多く報告されています。
特に多く確認されている代表的な偽装手法は以下になります。
二重拡張子の使用
最もよく使われる偽装方法のひとつが「二重拡張子」の手口です。たとえば、ファイル名が「document.pdf.exe」や「invoice.txt.scr」となっている場合、見た目では前半の.pdfや.txtが目立ち、利用者が実行ファイルだと気づきにくくなります。
Windowsの設定で拡張子が非表示になっていると、「document.pdf」だけ表示され、本来の実行拡張子(.exe)が見えません。結果的に、安心してファイルを開いてしまい、マルウェアが実行されるリスクがあります。
空白や無意味な文字列の挿入
マルウェアは、ファイル名の本体と拡張子の間に空白や意味のない文字列を大量に挿入することがあります。たとえば、「example.txt (空白) .exe」のようにすることで、エクスプローラーの表示領域によっては末尾の「.exe」が省略され、「example.txt」のように見える視覚トリックです。
特に画面幅や表示設定に依存するため、注意深く見ないと偽装に気づけません。また、改行コードなどを使ってさらに複雑な表示にするケースも確認されています。
RLO(Right-to-Left Override)による視覚トリック
Unicodeの制御文字であるRLO(U+202E)を利用する手口です。RLOは、本来の文字の表示順を右から左に変える制御コードであり、制御コードをファイル名に挿入することで拡張子の順番を逆転させます。
たとえば、ファイル名「abcfdp.exe」にRLOを挿入して「abcfdpU+202Efdp.exe」とすることで、表示上は「abcexe.pdf」のように見せかけることが可能です。利用者がこの表示を信じてクリックすれば、実際には.exe形式の実行ファイルが起動してしまいます。
アイコン偽装による誤認誘導
拡張子だけでなく、ファイルのアイコンを変更することで、視覚的に信頼性を演出する手口です。たとえば、実行ファイル(.exe)であっても、PDFやWord文書と同じアイコンを設定することが可能です。
アイコン偽装により、利用者がファイルの内容を文書だと誤解し、実行してしまうリスクが高まります。特に企業や業務の文脈で送信される場合、添付ファイルの信頼性が高く感じられるため、被害につながりやすくなります。
ショートカットファイルの偽装
ショートカットファイル(.lnk)を使った偽装も非常に巧妙です。ショートカットファイルに文書や画像に似た名前やアイコンを設定し、実際には悪意あるスクリプトやマルウェアを呼び出す命令を埋め込むケースがあります。
たとえば、「report.txt.lnk」や「photo.jpg.lnk」などと命名し、利用者に文書ファイルや画像ファイルと誤認させてクリックさせます。ショートカットにはコマンド実行機能があるため、任意のプログラムを実行させることが可能です。
拡張子を偽装したマルウェアを誤ってクリックしてしまった場合、情報漏えいやシステム破壊、遠隔操作などの重大なリスクが発生するおそれがあります。
情報漏えいが起きた場合どうなるのかについては以下の記事で解説しています。
>個人情報が流出するとどうなる?企業と個人への影響・罰則・対策を解説
マルウェア感染に疑わしい場合には、感染経路や被害の範囲を特定するために、フォレンジック調査を受けることが重要です。もし被害に遭った場合は、すぐに専門のフォレンジック調査会社に、早急な対処や今後の対策を相談しましょう。
\サイバーセキュリィ専門家へ24時間365日無料相談/
ファイル拡張子を偽装するマルウェアへの対策
マルウェアによるファイル拡張子偽装は、視覚的なトリックによって利用者の警戒心をすり抜け、実行ファイルを安全な形式と誤認させる手口です。これらの被害を未然に防ぐためには、日常的なセキュリティ習慣の見直しと環境設定の強化が不可欠です。
以下では、特に有効な3つの対策を紹介します。
拡張子の表示を有効にする
Windowsでは、初期状態で「既知のファイル拡張子を表示しない」設定が有効になっています。この設定により、たとえば「document.pdf.exe」というファイル名が「document.pdf」とだけ表示され、実行ファイルであることに気づきにくくなります。
拡張子の偽装による被害を防ぐためには、すべてのファイル拡張子を常に表示する設定を有効にすることが効果的です。以下の手順で変更できます。
- エクスプローラーを開く
- 「表示」タブをクリックし、「オプション」を選択
- 「フォルダーオプション」ダイアログで「表示」タブを開く
- 「登録されている拡張子は表示しない」のチェックを外す
- 「OK」をクリックして設定を保存
上記の設定を行うことで、ファイル名の末尾に拡張子が明示されるようになり、偽装された実行ファイルを識別しやすくなります。
不審なメール・添付ファイルは開かない
マルウェアの主な感染経路の一つとして「メールによる拡散」あります。とくに企業名や取引先を装ったフィッシングメールに、偽装ファイルが添付されているケースが数多く報告されています。
不審なメールを開かないことはもちろん、以下のような要素があるメールには特に注意が必要です。
- 差出人が不明、または普段とは異なるドメイン
- 件名が「請求書」や「至急確認」など緊急を装うもの
- ファイルの拡張子が「.exe」「.scr」「.lnk」など実行形式
- ZIPファイルでパスワード保護されている
万が一、添付ファイルを開いてしまった場合でも、すぐにPCのネットワーク接続を切断し、専門業者に相談することで被害を最小限に抑えられる可能性があります。
ウイルス対策ソフトの導入・最新状態の維持
信頼性の高いウイルス対策ソフトを導入し、常に最新のウイルス定義ファイルに更新しておくことも極めて重要です。
マルウェアは日々新しい手法で変異しており、定義ファイルが古いままでは新たな脅威を検出できない可能性があります。「リアルタイム保護」や「メール添付ファイルのスキャン」などの機能が有効になっているかも定期的に確認しましょう
万が一、マルウェアに感染してしまった場合の対処法については、以下の記事で詳しく解説しています。
マルウェアによる被害の調査は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\サイバーセキュリィ専門家へ24時間365日無料相談/
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
