複数のZIPアーカイブを一つのファイルに結合し、マルウェアを隠す新たな手口がサイバー犯罪者の間で広がりを見せている。通常のアーカイブソフトでは結合された全データを認識できないことを利用し、犯罪者は感染リスクのあるファイルを無害に見せかける。
この手法は、特に電子メールでのフィッシング攻撃に利用されており、「未払いの請求書」や「未配達の小包」といった内容で被害者に巧みに偽装メールを送りつけ、開封を誘導する。実際にマルウェア感染のリスクが高まっていると警告するサイバーセキュリティ研究者もおり、フィッシング攻撃の調査中に確認された新手法であるという。
セキュリティソフトやアーカイブプログラムの処理の差異を悪用してセキュリティ対策を回避するこの攻撃は、WinRaRや7zip、Windowsのファイルエクスプローラーなどの異なるソフトにおいても検出が難しく、被害拡大の可能性が懸念されている。
ZIPファイル連結攻撃の仕組みと従来のセキュリティ対策の盲点
サイバー犯罪者が利用する「ZIPファイル連結攻撃」は、複数のZIPアーカイブを一つにまとめてマルウェアを隠蔽する高度な手口である。この方法では、複数のZIPファイルを単一のファイルに結合することで、セキュリティソフトやアーカイバープログラムがその全貌を検知できない状態を作り出す。
例えば、無害なファイルが含まれているZIPとマルウェアを含むZIPを連結すると、通常のアーカイブソフトやウイルス対策ソフトでは、一部のファイルしか表示されない場合がある。これにより、ユーザーが誤って感染ファイルを開いてしまうリスクが生じる。
さらに、Perception Pointの調査によれば、7zipやWinRaR、Windowsファイルエクスプローラーといった異なるアーカイバープログラムの挙動の違いも、この攻撃を巧妙にしている一因である。例えば、7zipは一部のデータを警告表示するが、ファイルの全体像を表示しない。
一方、WinRaRは連結されたZIPファイル全体を表示できるが、Windowsエクスプローラーでは一部の内容のみを読み込むため、ユーザーが注意を払わない限り、ウイルスの検出が困難である。このようなシステム間の処理の差異が、サイバー犯罪者に悪用され、従来のセキュリティ対策における盲点となっているのである。
電子メールを通じた感染経路と巧妙化するフィッシング手法
このZIPファイル連結攻撃の多くは、フィッシングメールを経由して行われる。ハッカーたちは「未払いの請求書」や「配送未完了の通知」といった信頼性を装った件名を利用し、受信者にZIPファイルを開かせる手法をとっている。
無害を装うメール本文と共にマルウェアを含むZIPファイルが添付され、受信者が不審に思わず開封することを狙っている。開封後、マルウェアがインストールされ、知らない間にデバイスが攻撃者の制御下に置かれる恐れがあるのだ。
Perception Pointの研究者は、こうした攻撃がフィッシングメールの新たなトレンドとなりつつあると指摘している。企業ネットワークや個人端末が標的とされ、日常的な業務に関わる連絡のように見せかけてユーザーをだます手法は、日常生活に溶け込む巧妙さがある。
特に、業務の中での急ぎの対応が必要とされる場合、受信者が慎重さを失うことを期待した攻撃が増えている。これにより、一般的な対策だけでは対応が難しくなり、さらなるセキュリティ強化が必要とされる現状である。
企業や個人が取るべき防御策と今後の課題
このような新たな手口に対処するためには、従来のセキュリティ対策の見直しと更新が求められる。Perception Pointは、既存の検出ツールが連結ZIPファイルのすべてのデータを正確に解析することができないことを指摘し、独自の再帰的分析ソリューションを推奨している。
この手法は、連結されたZIPファイルの各レイヤーをすべて解凍し、隠れた脅威の完全な検出を目指すものである。企業や組織のセキュリティ担当者にとって、このような包括的な解析が必要とされている。一方で、利用者の自己防衛意識も重要である。
不明な送信者からの添付ファイルや、疑わしいメールのリンクは開かないという基本的な対策を徹底することが、個人情報やデータ保護において依然として重要である。特に、業務で利用するデバイスにおいては、ウイルス対策ソフトの定期的な更新や、強化されたセキュリティツールの導入がリスクを最小限に抑える鍵となる。このようなサイバー攻撃は手法が進化しており、セキュリティ分野における課題は深刻さを増している。