Windows脆弱性が8年間放置 – 中国・北朝鮮など11カ国の国家ハッカーに悪用されたLNKファイルの危険性

2025年3月20日10:38

サイバーセキュリティニュース

Windows脆弱性が8年間放置 - 中国・北朝鮮など11カ国の国家ハッカーに悪用されたLNKファイルの危険性 - innovaTopia - （イノベトピア）

Last Updated on 2025-03-21 10:21 by admin

Trend MicroのZero Day Initiative（ZDI）が、2017年から2025年3月現在まで悪用されている未パッチのMicrosoft Windows脆弱性「ZDI-CAN-25373」を発見した。この脆弱性は、細工されたWindowsショートカット（.LNK）ファイルを通じて隠された悪意のあるコマンドを実行できるものである。

セキュリティ研究者Peter GirnusとAliakbar Zahraviによると、攻撃者は検出回避のために改行（\x0A）と復帰（\x0D）文字を使用している。これまでに約1,000の悪用.LNKファイルが発見され、中国、イラン、北朝鮮、ロシアの11の国家支援ハッカーグループが関与している。特に北朝鮮関連グループが半数を占めており、平壌のサイバー機関内での連携が示唆されている。

主な攻撃対象は、米国、カナダ、ロシア、韓国、ベトナム、ブラジルの政府機関、企業、金融機関、シンクタンク、通信事業者、軍事・防衛機関である。攻撃ではLumma Stealer、GuLoader、Remcos RATなどのマルウェアが配布され、特にロシアの犯罪組織Evil Corpは本脆弱性を悪用してRaspberry Robinマルウェアを拡散している。

マイクロソフトはこの問題を「ユーザーインターフェースにおける重要情報の誤表示（CWE-451）」に分類し、低い重大度と判断しており、修正プログラムのリリース予定はない。

from:Unpatched Windows Zero-Day Flaw Exploited by 11 State-Sponsored Threat Groups Since 2017

【編集部解説】

今回の「ZDI-CAN-25373」と呼ばれるWindowsの脆弱性は、サイバーセキュリティの世界で極めて重要な発見です。この脆弱性が2017年から8年もの間、複数の国家支援ハッカーグループによって悪用され続けていたという事実は、デジタルセキュリティの複雑さと持続的な脅威の存在を浮き彫りにしています。

特筆すべきは、この脆弱性が単なるハッカー集団ではなく、中国、イラン、北朝鮮、ロシアという地政学的に重要な4カ国の国家支援ハッカーグループによって悪用されていた点です。これは現代のサイバー空間が国家間の諜報活動や情報戦の主戦場となっていることを如実に示しています。

技術的な観点から見ると、この脆弱性はWindowsのショートカットファイル（.LNK）の仕様を巧妙に悪用するものです。攻撃者は改行（\x0A）や復帰（\x0D）などの制御文字を使って悪意のあるコマンドを隠蔽し、ユーザーインターフェースでは表示されないようにしています。これにより、一般ユーザーがファイルを開いても、裏で実行される悪意のあるコマンドに気づくことができません。

BleepingComputerの報道によると、この脆弱性は「User Interface (UI) Misrepresentation of Critical Information (CWE-451)」に分類されており、Windowsのユーザーインターフェースが重要な情報をユーザーに適切に表示できていないという問題です。つまり、技術的には表示の問題であるため、マイクロソフトは「低い重大度」と分類したと考えられます。

しかし、実際の影響を考えると、この判断には疑問が残ります。8年間にわたって11もの国家支援ハッカーグループに悪用され、約1,000の悪用事例が確認されている脆弱性を「低重大度」と分類し、修正プログラムを提供しないという対応は、セキュリティコミュニティからは批判を受ける可能性があるでしょう。

特に北朝鮮関連のハッカーグループが多く関与していることは注目に値します。北朝鮮は経済制裁下にありながら、高度なサイバー攻撃能力を持つことで知られています。今回の発見は、平壌のサイバー機関内で活動する異なるハッキンググループ間の連携体制の存在を示唆しており、北朝鮮のサイバー戦略の一端を垣間見ることができます。

また、BleepingComputerの別の記事によると、ロシアの犯罪組織Evil Corpが本脆弱性を悪用してRaspberry Robinマルウェアを配布していることが確認されています。Raspberry Robinは2021年から活動が確認されているワーム型マルウェアで、USBドライブを介して拡散する特徴があります。Evil Corpは2019年に米国財務省から制裁を受けた組織で、この脆弱性を利用することで自らの痕跡を隠し、制裁回避を図っている可能性があります。

企業や組織にとって、この脆弱性は特に警戒が必要です。政府機関、金融機関、通信事業者、軍事・防衛機関など、機密情報を扱う組織が主な標的となっているからです。攻撃が成功すると、情報窃取やサイバースパイ活動によって重大な被害を受ける恐れがあります。

対策としては、不審なショートカットファイル（.LNK）を開かないよう注意し、セキュリティソフトを最新の状態に保つことが重要です。Trend Microによれば、同社の顧客は2024年10月と2025年1月にリリースされたルールとフィルターによって保護されているとのことです。

今回の事例は、サイバーセキュリティにおける「見えない脅威」の存在を改めて認識させるものです。表面上は問題ないように見えるファイルが、実は長年にわたって国家レベルの攻撃に悪用されていたという事実は、デジタル時代の安全保障の難しさを物語っています。

テクノロジーの進化とともにサイバー攻撃も高度化する中、基本的なセキュリティ対策を怠らず、常に警戒心を持つことの重要性を、この事例は私たちに教えてくれています。

【用語解説】

ゼロデイ脆弱性：
ソフトウェアの開発者が脆弱性を認識してから修正プログラムをリリースするまでの間（「ゼロ日目」）に悪用される脆弱性のこと。この期間は防御策がないため特に危険である。

Zero Day Initiative (ZDI)：
2005年に設立され、現在はTrend Microが運営する世界最大のベンダー非依存型バグ報奨金プログラム。セキュリティ研究者から脆弱性情報を買い取り、ベンダーに通知して修正を促す役割を担っている。

LNKファイル：
Windowsのショートカットファイル。本来は別のファイルやプログラムへのリンクだが、悪用されると隠されたコマンドを実行できる。

Evil Corp：ロシアを拠点とするサイバー犯罪集団。2014年頃から活動を開始し、Dridexなどのマルウェアやランサムウェア攻撃を行っている。米財務省から制裁を受けている。

Raspberry Robin：USBメモリを介して拡散するワーム型マルウェア。2022年10月にMicrosoftが警告を発し、多数の組織に感染を広げている。Evil Corpとの関連が指摘されている。

国家支援ハッカーグループ：政府の支援や指示を受けて活動するハッカー集団。通常の犯罪組織と異なり、金銭的動機だけでなく、諜報活動や政治的目的を持つ。

【参考リンク】

Trend Micro（トレンドマイクロ）（外部）
サイバーセキュリティ製品・ソリューションを提供する企業。Zero Day Initiativeを運営している。

Zero Day Initiative（外部）
Trend Microが運営する脆弱性報奨金プログラム。今回の脆弱性「ZDI-CAN-25373」を発見・報告した。

SOMPO CYBER SECURITY（外部）
サイバーセキュリティに関する情報を提供するサイト。Evil CorpやRaspberry Robinについての詳細な解説がある。

【編集部後記】

皆さん、普段何気なく使っているWindowsのショートカットファイル、実は8年間も国家レベルのハッカーに悪用されていたとは驚きですよね。こうした「見えない脅威」は私たちの身近に潜んでいます。皆さんのPCにも不審なショートカットファイルはありませんか？セキュリティ対策は「自分には関係ない」と思いがちですが、今回の事例はその考えを見直すきっかけになるかもしれません。皆さんはどのようなセキュリティ対策を実践していますか？SNSでぜひ教えてください。