Windows ショートカットの未修正脆弱性を悪用するゼロデイ攻撃

　トレンドマイクロ株式会社は3月24日、ZDI-CAN-25373と識別されるWindowsショートカットの未修正脆弱性を悪用するゼロデイ攻撃について発表した。

　トレンドマイクロのZero Day Initiative（ZDI）は、ZDI-CAN-25373と識別されるWindowsの.lnkファイルの未修正の脆弱性が、以前から国家を背景とする攻撃グループやサイバー犯罪組織に広範に悪用されていることを確認している。

　攻撃者は同脆弱性を利用することで、細工されたショートカットファイルを通じて被害者のマシン上で隠れた悪意あるコマンドを実行できる。攻撃では、.lnkファイル内に隠されたコマンドライン引数を利用して悪意のあるペイロードを実行し、検出を困難にしている。ZDI-CAN-25373の悪用で、データ窃取やサイバースパイ活動といったリスクにさらされる可能性があるとしている。

　同社の調査によると、2017年時点での同脆弱性の悪用を確認しており、北朝鮮、イラン、ロシア、中国の国家支援型APTグループによって、北米、欧州、アジア、南米、オーストラリアの政府機関、金融、通信、軍事、エネルギー分野の組織が影響を受けているという。

　ZDI-CAN-25373脆弱性は2025年3月24日時点で未修正で、影響を受ける可能性のある組織は、セキュリティ対策を即座に実施し、不審な.lnkファイルに警戒するとともに、エンドポイントおよびネットワークの包括的な防御対策を整えるよう呼びかけている。なお、トレンドマイクロ製品では、2024年10月および2025年1月にリリースしたルールやフィルタで同脆弱性を悪用した攻撃から保護している。