サイバーセキュリティ研究者たちは、ハッカーが異なるアーカイブプログラムの ZIP ファイル処理方法の違いを悪用する高度な攻撃手法を発見しました。この手法により、従来のセキュリティツールでは検出が困難な隠されたマルウェアにユーザーが晒される可能性があります。
攻撃の技術的性質
ZIP ファイルの連結は、攻撃者が複数の ZIP アーカイブを1つのファイルに結合する新しいアプローチです。この結合されたファイルには、異なるファイルエントリを指す複数のセントラルディレクトリが含まれています。この攻撃の有効性は、様々なアーカイブプログラムがこれらの連結ファイルを異なる方法で解釈することにより、セキュリティの隙間が生まれる点にあります。
各アーカイバーの反応の違い
この脆弱性は、一般的なアーカイブソフトウェアの動作の違いによって顕著になります。技術者に好まれる 7zip は最初の ZIP アーカイブのみを読み取り、追加データについて控えめな警告を表示する場合があります。 Windows File Explorer は2番目の ZIP アーカイブのみを表示し、一方 WinRAR はすべての ZIP 構造を完全に読み取ります。これらの不一致により、攻撃者が悪意のあるコンテンツを効果的に隠すことが可能になります。
実際の攻撃手法
サイバー犯罪者は通常、一見無害な添付ファイルを含むフィッシングメールを通じてこの手法を展開します。連結された ZIP ファイルの一方のアーカイブには無害な PDF が含まれている一方で、別のアーカイブにマルウェアが隠されている可能性があります。被害者がどのソフトウェアでファイルを開くかによって、悪意のあるコンテンツが手遅れになるまで検出されない可能性があります。
セキュリティへの影響と予防
この攻撃が特に懸念される理由は、従来の検出ツールが連結された ZIP ファイルを完全に解析することが困難なためです。 Perception Point は独自のソリューションでこの脆弱性に対処できると提案していますが、最も効果的な予防策は依然としてユーザーの警戒です。これには、メールの添付ファイルの慎重な確認や、未確認のソースからのダウンロードを避けることが含まれます。
今後のセキュリティに関する考察
この発見は、攻撃者がソフトウェアの動作の違いを悪用する創造的な方法を見つけ続けているというサイバーセキュリティにおける継続的な課題を浮き彫りにしています。これは、よく知られたファイル形式でさえも高度な攻撃ベクトルとなり得ることを示しており、改良されたセキュリティツールとユーザーの意識向上の両方が必要であることを強調しています。