Microsoftは北朝鮮・ロシア・中国によるスパイ行為に悪用された8年前のショートカットエクスプロイトを修正していない

セキュリティ企業・トレンドマイクロのバグ報奨金プログラムプラットフォームであるZero Day Initiative(ZDI)で発見されたWindowsのショートカットファイルにある脆弱(ぜいじゃく)性「ZDI-CAN-25373」が、北朝鮮・イラン・ロシア・中国などと関連するサイバー攻撃集団に悪用されていると、Trend Microが報告しています。トレンドマイクロはZDI-CAN-25373をMicrosoftに報告しましたが、セキュリティアップデートでの修正は行われていないとのことです。

ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns | Trend Micro (US)
https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html

Microsoft isn't fixing 8-year-old zero day used for spying • The Register
https://www.theregister.com/2025/03/18/microsoft_trend_flaw/

ZDI-CAN-25373は、ショートカットファイル内に隠しコマンドを埋め込むことで、ユーザーのマシンで悪意のあるコードを実行できるというものです。

バイナリ形式のファイルであるショートカットファイルは特定の構造を持っており、COMMAND_LINE_ARGUMENTSという領域にコマンドライン引数を格納します。攻撃者がこのCOMMAND_LINE_ARGUMENTS部分に大量の空白文字を挿入した後、悪意のあるコマンドを入力し、ショートカットファイルを編集すれば、見た目を通常のドキュメントや正当なアプリケーションのように見せかけることができてしまいます。

もしユーザーがショートカットのプロパティを確認しようとしても、大量の空白文字が挿入されているため、Windowsのユーザーインターフェイスでは悪意のあるコマンドが見えなくなってしまいます。技術的には非常にシンプルですが、一般ユーザーには検出が困難となります。

ZDIは、悪意のあるショートカットファイルをおよそ1000件発見し、ZDI-CAN-25373が少なくとも2017年から攻撃に使われていると推定しています。ZDI-CAN-25373は北朝鮮、イラン、ロシア、中国といった国家支援型のサイバー攻撃集団に悪用されており、特に北朝鮮関連のグループからの攻撃が全体の約45.5％を占めていたとのこと。

攻撃の約68.2％は情報窃取とサイバースパイ活動が目的で、約22.7％金銭的利益を目的としていました。標的となっていたのは主に政府機関、民間企業、金融機関、シンクタンク、通信会社、軍事関連、エネルギー部門です。

ZDIはZDI-CAN-25373をMicrosoftに報告しましたが、Microsoftはこれをユーザーインターフェースの問題と見なし、セキュリティアップデートとしての対応優先度は低いと判断して修正を見送っているとのこと。ZDIは、ZDI-CAN-25373を重大なセキュリティリスクと考えており、特権昇格の脆弱性と組み合わせるとシステム全体が容易に侵害される可能性があると警告しています。

ZDIの脅威認識責任者であるダスティン・チャイルズ氏はIT系ニュースサイトのThe Registerに対して、「ZDI-CAN-25373は攻撃者が利用している多くのバグのうちの1つですが、パッチが適用されていないため、ゼロデイとして報告しています。Microsoftはセキュリティアップデートとして修正するべきだとみなしてはいませんが、今後のOSアップデートや機能リリースで修正される可能性があります」と語りました。