ファイルの縮小表示プレビューに偽装したアイコンを持つマルウェアに注意

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、Windowsの縮小表示プレビューに偽装したアイコンを持つウイルスなどのマルウェアについて、注意を喚起した。

　JPCERT/CCの分析センターによると、メールに添付されるマルウェアには、脆弱性を悪用する文書ファイルもあるが、実行ファイルや圧縮ファイルが現在では主流になっており、多くの場合では添付ファイルを無害なファイルに偽装して、ユーザーにファイルを開かせる手法が用いられているという。

　代表的な手法としては、アイコンを一見無害に見える他のアイコンに偽装する方法があり、アプリケーションごとに定義されたアイコンに偽装する手法が用いられてきたが、ユーザーを欺くことが難しくなりつつあることから、さらに手の込んだ偽装として、縮小表示プレビューを偽装する手口が用いられるようになったという。

　Windows Vista以降では、エクスプローラーで表示設定を「小アイコン」より大きくすと、画像ファイルなどで内容の縮小表示プレビューがアイコンの代わりに表示されるようになった。一部のアプリケーションもコンテンツの内容をアイコンとして表示する機能を持っており、例えばPowerPointがインストールされている環境では、PowerPointファイルも縮小表示プレビューが表示され、表示設定が「中アイコン」以上では縮小表示プレビューの右下にアプリケーションを示すアイコンをオーバーレイ表示することもできる。

縮小表示プレビューの例

　一方、JPCERT/CCが確認したマルウェアには、請求書や領収書を連想させる文書の縮小表示プレビューに偽装したアイコンを持つものがあり、こうした偽装アイコンを見せられたユーザーの関心は、ファイルの種類ではなく縮小表示されたコンテンツに注がれ、その妥当さからファイルを開いてもよいかどうかを判断してしまいがちだとしている。

　また、アプリケーションを示すアイコンがオーバーレイ表示されているかのように見えるアイコンで偽装したマルウェアも確認されている。

縮小表示プレビューに偽装したマルウェアの例

オーバーレイ表示も偽装した例

　アイコンが偽装されたマルウェアであっても、プロパティで「ファイルの種類」を確認するか、またはエクスプローラーで表示設定を「詳細」にしてファイルの「種類」を確認することで、誤認を防ぐことができる。

プロパティで「ファイルの種類」を表示

エクスプローラーで「詳細」表示した場合

　JPCERT/CCでは、縮小表示プレビューの偽装に用いられるアイコンは、メールの送付先や本文内容に即したコンテンツに見せかけて作成されており、文書や画像の内容がアイコンになっているように見えるファイルに惑わされることなく、ファイルを開く前にはファイルのプロパティを調べるなどして、ファイルの種類などを確認する用心深さが必要だとしている。