はじめに:Windows LNK脆弱性の「緩和」
Microsoftは、複数の国家支援型ハッキンググループやサイバー犯罪グループによってゼロデイ攻撃で悪用されていた高 severity のWindows LNK脆弱性「CVE-2025-9491」を密かに「緩和」したことを発表しました。この脆弱性は、悪意のあるコマンドをWindows LNKファイル内に隠蔽することで、マルウェアの展開や侵害されたデバイスへの永続的なアクセスを可能にするものです。
LNK脆弱性の詳細:巧妙なコマンド隠蔽
CVE-2025-9491は、Windowsが.LNKファイルを処理する方法の欠陥を悪用します。攻撃者は、Windows Shell Link (.lnk) ファイルのTargetフィールドに大量の空白文字を詰め込むことで、悪意のあるコマンドライン引数を隠蔽していました。これにより、ファイルのTargetフィールドのプロパティには最初の260文字しか表示されず、ユーザーがLNKファイルをダブルクリックした際に実行される実際の悪意あるコマンドを認識できないという問題がありました。
この攻撃が成功するためにはユーザーの操作が必要であり、悪意のあるWindows Shell Link (.lnk) ファイルを開くように被害者を欺く必要があります。脅威アクターは、メールプラットフォームが.lnk添付ファイルを危険と見なしブロックすることが多いため、これらのファイルをZIPなどのアーカイブにまとめて配布していました。
広がる脅威:国家支援型グループとサイバー犯罪
2025年3月にTrend Microの脅威アナリストが発見した時点で、CVE-2025-9491はすでにEvil Corp、Bitter、APT37、APT43(Kimsukyとしても知られる)、Mustang Panda、SideWinder、RedHotel、Konniなど、11の国家支援型グループおよびサイバー犯罪組織によって広範囲に悪用されていました。これらのキャンペーンでは、Ursnif、Gh0st RAT、Trickbotといった多様なマルウェアやローダーが使用されており、MaaS(Malware-as-a-service)プラットフォームが脅威の状況を複雑にしています。
さらに、Arctic Wolf Labsは10月に、中国の国家支援型ハッキンググループであるMustang Pandaが、ハンガリー、ベルギー、その他のヨーロッパ諸国の外交官を標的としたゼロデイ攻撃でこのWindows脆弱性を悪用し、PlugXリモートアクセス型トロイの木馬(RAT)マルウェアを展開していたと報告しています。
Microsoftの対応と課題
Microsoftは2025年3月、「即時対応の対象とならない」として、このゼロデイ脆弱性への対処を検討すると述べていました。また、11月のアドバイザリでは、ユーザー操作が関与し、システムがすでにこの形式が信頼できないことを警告しているため、これを脆弱性とは見なさないと付け加えていました。しかし、脅威アクターはMark of the Webバイパス脆弱性を悪用してこれらの警告を回避し、攻撃を成功させる可能性があります。
それにもかかわらず、ACROS SecurityのCEO兼0patchの共同創設者であるMitja Kolsek氏の発見によると、Microsoftは11月のアップデートでLNKファイルの挙動を密かに変更し、CVE-2025-9491の緩和を試みた模様です。このアップデートをインストールした後、ユーザーはLNKファイルのプロパティを開くと、Targetフィールドのすべての文字を見ることができるようになりました。
しかし、これは必ずしも完全な修正ではありません。悪意のある引数がLNKファイルから削除されるわけではなく、Target文字列が260文字を超えるLNKファイルを開いても、ユーザーに警告が表示されることはありません。
非公式パッチによる緊急対策
Microsoftがこのセキュリティ欠陥に適切に対処するまでの間、ACROS Securityは0patchマイクロパッチプラットフォームを通じて非公式パッチをリリースしています。このパッチは、すべてのショートカットターゲット文字列を260文字に制限し、異常に長いターゲット文字列を持つショートカットを開く潜在的な危険性についてユーザーに警告します。
Kolsek氏は、「我々のパッチは、Trend Microによって特定された1000以上の悪意のあるショートカットを、ターゲットとされたすべてのユーザーに対して無効にするだろう。一方、Microsoftのパッチは、おそらくそのようなショートカットを起動しないであろう、最も慎重なユーザーにのみ悪意のあるコマンド文字列全体を表示させるだけだ」と述べています。「260文字未満の悪意のあるショートカットも作成可能だが、実際に検出された攻撃を妨害することは、標的とされた人々にとって大きな違いをもたらすと信じている」とも付け加えています。
ACROS Securityの非公式CVE-2025-9491パッチは、Windows 7からWindows 11 22H2、Windows Server 2008 R2からWindows Server 2022までのサポート終了版Windowsを使用している、0patchのPROまたはEnterpriseアカウントユーザーが利用できます。