悪意のある攻撃者は、ユーザーから有害なコンテンツを隠す根本的な脆弱性を悪用し、継続的なマルウェア攻撃においてLNKファイルを悪用し続けています。Microsoftはこの脆弱性にまだ対処していないため、LNKファイルを扱う際には注意が必要です。このガイドでは、これらのファイル形式の潜在的な悪用を防ぐための重要な手順を説明します。
LNKファイルを理解する:それがもたらすリスク
Windowsオペレーティングシステム内でショートカットとして生成されることが多いLNKファイルは、拡張子が.lnkです。デスクトップショートカットを作成したり、アプリケーションに作成を許可したりすることはよく知られているかもしれませんが、Windowsでは.lnk拡張子が目立たず、特徴的な横向きの矢印アイコンに置き換えられていることにご注意ください。
これらのショートカットは、ユーザーを指定されたファイルやアプリケーションに誘導しますが、驚くべき機能を備えています。ターゲットフィールドを操作してコマンドライン命令を追加できるのです。この機能により、サイバー犯罪者は有害なスクリプトを実行でき、Astarothなどのマルウェアに代表されるファイルレス攻撃でよく使用されます。
特に危険なのは、攻撃者がターゲットフィールド内の過剰な空白を利用することで、悪意のあるスクリプトを隠蔽できることです。その結果、ユーザーには無害なターゲットアドレスしか見えず、有害な命令はバックグラウンドで実行される可能性があります。この脆弱性は、CVE-2025-9491というIDで追跡されています。
通常、偽装された.lnkファイルはアーカイブ内に隠されており、「Instructions.pdf.ink」のような誤解を招くような名前が付けられています。Windowsはファイル拡張子を非表示にするため、ユーザーは誤って「Instructions.pdf」と認識し、開いた瞬間に攻撃を開始してしまう可能性があります。
WindowsでLNKファイル拡張子を表示する
このような脅威に対する第一の防御策は、LNKファイルを正規のファイルではなくショートカットとして認識することです。LNKファイルはローカル環境またはネットワーク環境内で動作するように設計されているため、外部ソースから送られてくる迷惑なLNKファイルはフィッシング詐欺である可能性が高いです。
LNKファイルの識別を容易にするために、Windowsで.lnk拡張子を表示するように設定できます。ただし、標準のファイル拡張子の切り替え機能は.lnkファイルには適用されないため、レジストリの変更が必要です。まず、システム設定で「ファイル拡張子を表示する」オプションを有効にし、以下のレジストリ変更を適用してください。
重要:レジストリを変更する前に、必ずバックアップを作成してください。誤った変更は、システムの不安定化やデータの損失につながる可能性があります。
レジストリにアクセスし、次の場所に移動します。
HKEY_CLASSES_ROOT\lnkfile
そこに表示されたら、文字列を見つけて削除してくださいNeverShowExt。変更を有効にするには、PCを再起動してください。その後、すべてのショートカットに.lnk拡張子が表示されます。.inkファイルであると主張するファイルは開かないように注意してください。
LNKファイルの安全性を分析する
疑わしいLNKファイルに遭遇した場合は、そのリンク先フィールドを注意深く確認することをお勧めします。ファイルを右クリックし、「プロパティ」を選択します。 「ショートカット」タブで、 「リンク先」フィールドをよく確認してください。
正規のショートカットは、実行ファイルへの正確なパスを引用符で囲んで表示します。パスがcmd.exe、powershell.exe、mshta.exeなどのコマンドツールにつながる場合、悪意のある意図を示している可能性があります。また、文字列の末尾にランダムな文字やバイナリシーケンスが含まれている場合、不正なアクティビティを示唆する可能性があります。
自動再生とファイルプレビューを無効にする
これまで、USBドライブのWindows自動再生機能とファイルエクスプローラーのファイルプレビューオプションは、LNKファイルによる悪用に対して脆弱でした。Microsoftはセキュリティ対策を強化してきましたが、これらの機能は依然としてリスクを伴います。ワークフローに不可欠でない場合は、安全性を高めるために無効化を検討してください。
自動再生を無効にするには、Windowsの設定→ Bluetoothとデバイス→自動再生に移動し、スイッチをオフに切り替えてください。ファイルプレビュー設定の管理方法については、包括的なガイドをご覧ください。
制御されたフォルダーアクセスを有効にする
コントロールされたフォルダーアクセスは、ドキュメント、ピクチャ、デスクトップなどの重要なフォルダーを、特にランサムウェア攻撃による不正な変更から保護するために設計されたWindowsの機能です。多くのLNKファイル攻撃はこれらのディレクトリを悪意のある操作の標的とするため、この機能を有効にすると、セキュリティがさらに強化されます。有効化の詳細な手順については、こちらのガイドをご覧ください。
PowerShell セキュリティの強化
LNKファイル攻撃では、PowerShellコマンドを利用して有害なアクションを実行することがよくあります。このリスクを軽減するには、PowerShellによる操作を署名付きスクリプトのみに制限してください。Windowsの検索バーに「powershell」と入力し、アプリケーションを右クリックして「管理者として実行」を選択します。以下のコマンドを入力し、「y」と入力して変更を確定します。
Set-ExecutionPolicy AllSigned
この設定は、特に企業環境において、カスタム PowerShell スクリプトに依存するワークフローに支障をきたす可能性があることに注意してください。この変更を元に戻すには、次のコマンドを使用します。
Set-ExecutionPolicy Undefined
さらに、PowerShell をさらに保護するための補足のヒントについては、ガイドを参照してください。
賢明な経験則:自分で作成したファイル、または信頼できるアプリケーションで作成を許可したファイル以外は、LNKファイルを開かないでください。この注意は特にインターネットからダウンロードしたファイルに当てはまります。Windowsのセキュリティ機能を常に活用し、特に無効になっている場合は、最大限の保護を実現してください。
コメントを残す