たった1行でストレージを即時破損させうるコマンドが見つかる、「見ただけでストレージが壊れるショートカット」の存在も

セキュリティ研究者のJonas L(@jonasLyk)氏が、たった1行でNTFS形式のストレージを破壊させうるコマンドの存在を明らかにしました。Jonas氏とIT系ニュースサイトBleeping Computerの調査の結果、このコマンドを利用した「見ただけでストレージが壊れるショートカット」も確認されています。

Windows 10 bug corrupts your hard drive on seeing this file's icon
https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

問題のコマンドが以下。以下は報道のために記載しているもので、実際にコマンドプロンプトから実行するとストレージが破損してアクセスできなくなる可能性があるため、状態の保存・復元が行えるスナップショット機能を有する仮想環境以外では実行しないようにしてください。

「$i30」はファイルとサブフォルダのリストを含むディレクトリに関するNTFS属性で、アクセスするとドライブが破損する可能性があります。Jonas氏によると、破損時に参照されるはずのレジストリーキーが動作しないため「なぜ破損するのか」という原因はわからないとのこと。実際にこのコマンドを実行した人からは「10回やっても普通に修復できた」といった報告もあがっていますが、Bleeping Computerによると、マスターファイルテーブルが破損するケースもあるとのこと。

問題のコマンドを入力直後には、コマンドプロンプトには「The file or directory is corrupted and unreadable.(ファイルまたはディレクトリが破損していて読み取り不能です)」と表示され、その後、「Restart to repair drive errors(ドライブエラーを修復するために再起動してください)」というポップアップが出現。

再起動後にはチェックディスクユーティリティ(CHKDSKユーティリティ)によるハードドライブの修復が開始されます。

イベントログにはマスターファイルテーブルにはドライブ内に破損したレコードが存在するというエラーが生成されます。

さらに、Jonas氏とBleeping Computerの調査の結果、「見ただけでストレージが壊れるショートカット」の存在も明らかになりました。このショートカットは問題のコマンドを「アイコンの場所」に設定したもので、Windowsエクスプローラーの「ショートカットを表示した際にアイコンパスにアクセスする」という挙動を利用することで、ショートカットをエクスプローラーで表示した瞬間に問題のコマンドを実行させます。

Bleeping Computerは「問題のコマンドを参照するHTMLドキュメント」や「見ただけでHDDが壊れるショートカットを含んだZIPアーカイブ」など、問題のコマンドに軽く手を加えただけの攻撃でも重大な影響を与えうると指摘。この現象は研究者の間で何年も知られているもののMicrosoftは何もしてこなかったと述べました。

Bleeping Computerは、改めて問題のコマンドについてMicrosoftに報告したところ、広報担当者からの「影響を受けるデバイスのアップデートをできる限り早く提供する予定です」という回答が得られたと報じています。