はじめに
セキュリティの勉強と息抜きを兼ねて「アイコン偽装」について調査、実装を行いました。
アイコン偽装とは
マルウェアファイルが実行される前にそのファイルがマルウェアだとばれないようにファイルのアイコンを偽装することをアイコン偽装といいます。2021年には東京五輪の関係者を狙ったアイコン偽装攻撃が確認されています。
ハンズオン
今回はpdfファイルに見せかけたexeファイルをつくりました。
まず、以下の画面を見てください。
一見するとpdfファイルのように見えますが、このファイルをクリックすると...
pdfファイル.....は開かれず、コマンドプロンプトが表示されました。
実は先ほどpdfファイルだと思ったものはpdfではなくexeファイルであり、実行することで指定したプログラムを裏で走らせる、というものです。
アイコン偽装ファイルのポイントとして、以下の点が挙げられます。
- アイコンがpdfになっており、pdfファイルであると誤解しやすい。
- ファイル名が長く、末尾の拡張子が見えないせいでexeファイルだと気づきにくい。
- ファイル名に【至急】(今日中に必ずお読みください)などの文字列を入れることで読み手を焦らせ、ファイル実行を誘発する。
今回作成したexeファイルは上画面のようにコマンドプロンプトを出現しアイコン偽装の注意喚起を表示するというプログラムですが、悪意ある攻撃者はexeファイルにファイル一括削除、暗号化、外部への転送などのプログラムを仕込み、攻撃対象に被害を与えようとします。
以下に、アイコン偽装プログラム作成の流れを簡単に示します。詳細については参考資料[1]~[5]をご覧ください。
batファイルの作成 [1][2]
以下の内容をbatファイルに保存します。メモ帳で編集し、拡張子を.batにして保存すれば良いです。
@echo off
echo This is NOT ***.pdf BUT ***.bat. Be careful of icon spoofing.
echo Please push any key and finish this program.
pause > nul
bat → exe化 [3]
今回はwindows標準搭載のiexpressを用いてbatファイルをexeファイルに変換しました。(batファイルのままだと後述するファイルアイコン変更ができないため)
pdfアイコンの取得 [4]
アイコンファイルはico形式です。ADOBE公式サイトからダウンロードしたpdfアイコンのpngファイルをアイコンウィザードというアプリを用いてicoファイルに変換しました。
ファイルアイコンの変更 [5]
ResourceHackerというアプリを用いてexeファイルのアイコンをPDFファイルのアイコンに変更しました。
まとめ
アイコン偽装について実装を通して、改めてその脅威を実感することができました。
今回のアイコン偽装プログラム作成にあたり、専門書などは一切使っていません。すべてネットの情報だけで作成しています(batファイルの書き方などはおさえておく必要がありますが)。また、用いたアプリは執筆時点ではすべて無料で入手可能です。これは、技術がない人でも手軽に攻撃ができてしまうことを示唆しています。
企業がアイコン偽装による被害にあわないためには
- 文書ファイルなどはファイル名の規格をあらかじめ決めておき、社外に漏らさないようにする。
- ファイル実行前にファイルの種類をしっかりと確認する。(プロパティなどを使う)
等の対策が必要と思われます。
参考
[1]
[2]
[3]
[4]
[5]