Windows MoTWを回避する新しいFileFix攻撃からPCを保護する

Windows MoTWを回避する新しいFileFix攻撃からPCを保護する

FileFixは、WindowsとウェブブラウザがHTMLウェブページの保存プロセスを管理する方法を悪用し、Windowsに組み込まれているセキュリティ対策を効果的に回避する、新たな攻撃手法です。この手法が成功すると、ランサムウェアの展開、認証情報の盗難、様々なマルウェアのインストールなど、深刻なセキュリティ侵害につながる可能性があります。この包括的なガイドでは、潜在的なFileFixの脅威からコンピュータを保護するための重要な戦略を解説します。

FileFix攻撃の仕組みを理解する

セキュリティ専門家mr.d0x氏によって発見されたFileFix攻撃は、ローカルHTMLアプリケーションファイルの処理とWindowsのセキュリティ機能「Mark of the Web(MoTW)」を操作します。ユーザーがウェブページで「名前を付けて保存」オプションを使用すると、ブラウザは通常、MoTWタグを付与しません。MoTWタグは、Windowsセキュリティなどのセキュリティシステムに警告を発し、ファイルに悪意のあるコンテンツが含まれていないかスキャンするよう促すものです。

さらに、ファイルを.hta(HTMLアプリケーションファイル)拡張子で保存すると、セキュリティチェックを受けることなく、現在のユーザーアカウントで直ちに実行されてしまう可能性があります。悪意のあるウェブサイトは、ユーザーを騙して.htaファイルとして保存させ、ファイルが開かれた瞬間に挿入された有害なコードを実行させ、Windowsのセキュリティシステムによる検出を回避してしまう可能性があります。

ユーザーに悪意のあるファイルを保存させるのは本質的に困難ですが、EDDIESTEALERが使用するような戦術が用いられる可能性があります。これには、ユーザーを誘導してMFAコードなどの機密情報を、誤解を招くような.hta拡張子で保存させるソーシャルエンジニアリング手法が含まれます。

この攻撃ベクトルを効果的にブロックできる予防策は数多くあります。以下に、いくつかの重要な戦略をご紹介します。

疑わしいウェブページには近づかないようにする

FileFix攻撃の最初のステップは、悪意のあるウェブページを保存することです。そのため、そのようなサイトを避けることで、攻撃を完全に防ぐことができます。フィッシング検出機能やマルウェア対策機能を備えたChrome、Edge、Firefoxなどの最新のブラウザを常に使用してください。Google Chromeでは、強化された保護機能を有効にすると、AIを活用したリアルタイムの脅威検出が可能になります。

多くの悪質サイトは、正規のサイトを装ったフィッシングメールを通じて拡散されます。こうしたメールを見分けることは非常に重要であり、そのようなメールとのやり取りを避けることで、様々なサイバー脅威の被害に遭うリスクを大幅に軽減できます。万が一、疑わしいサイトにアクセスしてしまった場合でも、その正当性を判断する効果的な方法があります。

Windows でのファイル拡張子の表示

Windows 11では、ファイル拡張子がデフォルトで非表示になっているため、ユーザーは.htmlから.htaへの変更に気付かなくなります。これを防ぐには、ファイル拡張子を表示し、ユーザーが誤解を招くような名前であっても実際のファイルの種類を認識できるようにすることをお勧めします。

ファイル拡張子の表示を有効にするには、次の手順に従います。

  • ファイルエクスプローラーを開きます。
  • [もっと見る]ボタン (3 つの点)を押して、 [オプション]を選択します。
  • [表示]タブに移動し、 [既知のファイルタイプの拡張子を非表示にする]というチェックボックスをオフにします。
Windowsのファイルエクスプローラーのオプションでファイル拡張子を有効にする

この変更により、Web ページを保存するときにダウンロード ウィンドウ内でもファイル拡張子が表示されるようになります。

ファイル拡張子が表示されたWindowsのダウンロードダイアログ

メモ帳を.htaファイルのデフォルトプログラムに設定する

.htaファイルの実行は、デフォルトでMshtaアプリケーションによって行われます。.htaファイルの関連付けをメモ帳に再設定すると、これらのファイルはスクリプトではなくテキストドキュメントとして開かれ、潜在的に有害なコンテンツの実行を防ぐことができます。

この調整は一般ユーザーに影響する可能性は低いでしょう。htaスクリプトは主にITプロフェッショナルや特定のエンタープライズアプリケーションで使用されます。この変更を実装するには、以下の手順を実行してください。

  • Windows 設定にアクセスし、[アプリ] -> [既定のアプリ]に移動します。
  • [ファイルの種類またはリンクの種類の既定値を設定する]の下の検索バーに「.hta」と入力します。
Windows設定でメモ帳をデフォルトアプリに設定する

HTML実行を防ぐためにMshtaを無効にする

追加の予防策として、Mshtaアプリケーションを完全に無効化し、すべての.htaスクリプトの実行を阻止する方法があります。これは、「mshta.exe」ファイルの名前を「mshta.exe.disabled」に変更することで実現できます。この変更を行うには、ファイル拡張子が表示されていることを確認する必要があります。

「C:\Windows\System32」と「C:\Windows\SysWOW64」の両方のディレクトリにあるmshtaファイルを見つけ、管理者としてログインした状態で「mshta.exe」を「mshta.exe.disabled」に名前変更します。必要に応じて、ファイルの所有権を取得します。この変更を元に戻すには、元のファイル名に戻すだけです。

Windows 11でMshtaアプリの名前を変更する

この脆弱性への認識が高まるにつれ、Microsoftは今後のアップデートでMoTWの適用に関する修正を強化する可能性があります。Windowsオペレーティングシステムは常に最新の状態に更新し、有害なスクリプトの実行中に検出できるよう、デフォルトのセキュリティ機能を有効にしておいてください。

出典と画像

関連記事:

ノヴァハーツ:退屈な戦闘によって中断されたロマンステーマのレビュー
ペルソナ5 ザ ファントムX ゴールドチケットとプラチナチケット入手ガイド

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です