新Windows LNKゼロデイ脆弱性が活発に悪用される

Windowsのショートカットファイル（.lnk）における新たなセキュリティ脆弱性が、外交機関を標的としたハッカーによって

現在活発に悪用されています。この脆弱性により、攻撃者はショートカットファイル内に悪意のあるコマンドを隠蔽し、ユーザーからは見えないようにすることが可能です。

脆弱性の発見とマイクロソフトの初期対応

この問題は、2025年3月にTrend Microの研究者によって最初に指摘されました。彼らは、攻撃者が一見無害に見えるWindowsショートカットファイルを作成し、その中に危険なコマンドを忍ばせていることを発見しました。ユーザーがファイルを右クリックして「プロパティ」を表示すると、「ターゲット」フィールドには空白または無害なテキストしか表示されませんでした。

これは、Windowsの「ターゲット」フィールドがコマンドの最初の260文字しか表示しないためです。攻撃者たちはこのスペースを空白文字で埋め尽くし、PowerShellスクリプトのような悪意のあるコードを隠していました。疑いを持ったユーザーがファイルの詳細を確認しようとしても、危険な部分は隠されたままでした。

当時、Microsoftはこの問題を修正するに値するセキュリティ脆弱性とは見なさず、ユーザーはインターネットからのファイルを開く際に既に警告されていると主張しました。

事態の進展と公式な対応

状況は2025年10月に一変しました。セキュリティ企業Arctic Wolfが、中国関連のハッキンググループ「UNC6384」がこの手口を使い、ハンガリーとベルギーの外交機関を攻撃していることを報告したのです。攻撃者たちは、PDF文書に見せかけた悪意のあるショートカットファイルを送信していました。

これらの攻撃を受け、この問題には正式な追跡番号CVE-2025-9491が割り当てられました。

マイクロソフトの修正と批評家の見解

2025年11月、Microsoftは静かにこの問題に対処しました。従来のセキュリティパッチを発行して攻撃をブロックする代わりに、彼らはWindowsのユーザーインターフェースを更新しました。現在、「プロパティ」ウィンドウはコマンド文字列の長さに

関わらず、

全体を表示するようになっています。

しかし、批評家たちは、この修正だけでは不十分であると主張しています。長いテキストが小さなボックスに詰め込まれて表示されるため、ユーザーが末尾に隠された悪意のあるコードを見つけることが依然として難しい可能性があるからです。

0patchによるより強力な対策

セキュリティ企業0patchは、代替の解決策をリリースしました。彼らは、ユーザーが作成する正規のショートカットが260文字を超えることはめったにないという考えに基づいています。そのため、彼らの「マイクロパッチ」は不審な動作を積極的にブロックします。

ユーザーが「ターゲット」が260文字を超えるショートカットファイルを開こうとすると、0patchの修正が介入します。これは、コマンドを260文字でカットオフし、不審なファイルが短縮されたことをユーザーに警告します。これにより、ユーザーが手動で検出することに頼ることなく、隠された悪意のあるコードを効果的に無力化します。

0patchはこの修正を、Windows 10、Windows 11、および複数のWindows Serverエディションで利用可能にしており、中にはMicrosoftから公式の修正が提供されなかったものもあります。

セキュリティ推奨事項

• メール経由で届いたり、文書のように見えるショートカットファイル（.lnk）を扱う際は、非常に注意してください。
• Windowsシステムを完全に最新の状態に保つことが重要です。
• 追加の保護を求めるユーザーや古いシステムを使用しているユーザーは、0patchのようなサードパーティ製パッチを検討することで、これらの攻撃を完全にブロックできます。

---

元記事: https://gbhackers.com/hackers-actively-exploit-new-windows-lnk-0-day/