ブラウザの中のファイルアーカイバー

ほぼこもセキュリティニュース By Terilogy Worx

ファイルアーカイバーは多くの人が使っているアプリケーションです。
zipファイルの中身を確認したり取り出したり出来るアプリケーションです。
WinRARなどのアプリケーションを自分でインストールして使っている人も多いでしょうし、Windowsの標準のエクスプローラーの機能でzipの中身を見ている人も多いでしょう。
これらはどちらもファイルアーカイバーとして利用できるものです。

こういったファイルアーカイバーをブラウザー上でエミュレートしてあたかもファイルアーカイバーを開いているように見せることのできるツールキットが開発され、公表されています。

このニュースだけを単体で見る場合、そういうものがあるのですね、という話かもしれません。
しかし先日別の大きなニュースがありました。
「登録が開始されたzipとmov」の件です。
いくつかのgTLDの登録が開始され、そのなかにzipやmovなどの良く利用されているファイル形式の拡張子と同じ文字列のドメインが利用できるようになったという話の件です。
このファイルアーカイバーをエミュレートできるということと、zipやmovというドメインを使うということを合わせてみるとどうなるでしょうか。
例えばこんな攻撃ができてしまいます。

  • 攻撃者は文字のみでフィッシングメールを作成し、被害者に送信する
    フィッシングメールには悪意あるファイルは添付されていません。
  • メールを受信した被害者はメールを読む
    このフィッシングメールは悪意あるファイルを含んでいません。
    このため、受信者はあまり警戒することなくメールの文面を読むことになるように思います。
  • 被害者にファイルを探させる
    攻撃者はもっともらしい文面を使い、被害者に被害者の環境でファイルを探させるように誘導します。
    ファイルを探す手順をメール文面に示します。
    エクスプローラーを起動します。そして、「important.zip」をサーチバーに入力して検索します。
    といった具合です。

もちろん被害者の環境に、そんなファイルはありません。
このとき、どうなるのでしょうか。
エクスプローラーは有効なファイルがローカルに存在しなかった場合、その文字列をWebブラウザで自動的に開きます。
その文字列が単に存在しないファイル名を示しているのではなく、攻撃者が操作できるドメインのURLだったらどうでしょう。
そのzipで終わる文字列のURLをWebブラウザで開くと、ファイルアーカイバーに見えるものが画面に表示されます。
そしてそこにはzipファイルの中身に見える表示がされています。
思わず、そこに表示されている中身のファイルに見えるものをクリックしてしまうかもしません。

この攻撃手法は防ぐことが難しいものに仕立てることのできる可能性を秘めたものです。
どうやって効果的に対策することができるでしょうか。
通常のアンチウイルス的な取り組みでの対策はできそうな気がしません。
いっそのこと、zipドメインそのものを丸ごと禁止にしてしまうなどの対策を選ぶことになってしまうのでしょうか。
在宅勤務などをはじめとした多様な働き方を考えると、この丸ごと禁止などの強硬策も実現は容易ではなさそうです。
さて、どうしたものでしょう。

参考記事(外部リンク):File Archiver In The Browser
mrd0x.com/file-archiver-in-the-browser/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。