LNKファイルを悪用するサイバー攻撃の実態——ショートカットに潜むマルウェアの脅威と対策

LNKファイル（ショートカット）が攻撃の入り口になっている

Windowsの「.lnk」ファイルといえば、デスクトップのショートカットです。しかし、このLNKファイルがサイバー攻撃者にとって格好の武器になっています。

2024年に発覚した「EastWind」攻撃は、LNKファイルを起点とした多段階攻撃の典型例です。具体的には、メール添付のRARアーカイブにLNKファイルを忍ばせる手口でした。

まず、標的組織の従業員にスピアフィッシングメールが送られます。添付ファイルはRARで圧縮されています。そして、中にはWordやPDFに見せかけたLNKファイルが入っています。

たとえば、ファイル名は「会議議事録.pdf.lnk」のような形式です。なお、Windowsの初期設定では「.lnk」部分が非表示のため気づけません。

LNKファイルをダブルクリックするとPowerShellが起動します。そして、外部サーバーからDLLをダウンロードします。さらに、攻撃者はDropboxやGitHubをC2通信の中継点として利用していました。つまり、ファイアウォールで検知されにくい設計です。

なぜ攻撃者はLNKファイルを多用するのでしょうか。いくつかの理由があります。

マクロ無効化の回避。Microsoftは2022年以降、Officeマクロをデフォルトで無効化しました。そのため、代替としてLNKファイルの利用が急増しています。

拡張子が見えない。Windowsはデフォルトで「.lnk」拡張子を表示しません。さらに、設定を変更しても.lnkだけは非表示のままです。つまり、ユーザーがLNKファイルの正体を見抜くのは非常に難しいのです。

アイコンの偽装が容易。LNKファイルは任意のアイコンを設定できます。たとえば、PDFやWordのアイコンを表示させて偽装できます。

任意のコマンド実行が可能。また、リンク先にPowerShellコマンドを指定できます。つまり、クリック一発でスクリプト実行が可能です。

EastWindに限らず、LNKファイル攻撃は世界中で増加しています。

たとえば、北朝鮮のLazarusグループは求人情報を装ったLNKファイルで暗号資産企業を狙っています。また、中国系の攻撃グループも日本の政府機関に対して展開しています。具体的には、日本語のファイル名で省庁間連絡文書を装うケースもあります。

さらに、2025年からはLNKファイルに難読化されたJavaScriptを埋め込む手法も広がっています。そのため、従来の検知パターンでは対応しきれません。

LNKファイルは単体で送られることもあります。しかし、ZIPやISOの中に格納されるケースも多いです。なお、ISOファイルはダブルクリックでマウントされます。つまり、「フォルダを開いた」感覚でアクセスしてしまいます。

具体的には、ISOの中にLNKファイルとおとり文書を配置します。そして、LNKクリックと同時におとり文書を表示させます。そのため、ユーザーはバックグラウンドのマルウェア実行に気づきません。

LNKファイルを使った攻撃から身を守るために、以下の対策を推奨します。

メール添付のアーカイブに警戒する。ZIP、RAR、ISOが添付されていたら中身を慎重に確認しましょう。

ファイルのプロパティを確認する。右クリックで「プロパティ」を見ましょう。また、「ショートカット」タブがあればLNKファイルです。

グループポリシーで制限する。企業ではWindows Defender Application ControlでLNKの実行を制限できます。

EDR/XDRを導入する。さらに、エンドポイントの挙動監視が不可欠です。

従業員教育を継続する。「怪しいファイルはクリックしない」という意識付けが最も費用対効果の高い対策です。なお、JPCERT/CCの注意喚起も定期的に確認しましょう。

LNKファイルは日常的に目にするショートカットと同じ形式です。そのため、多くの人が警戒心を持ちません。しかし、攻撃者はまさにその心理を突いています。ファイルを開く前の「一呼吸」が最大の防御策です。

また、関連するセキュリティ情報としてPyPIのサプライチェーン攻撃やQuick Shareの脆弱性も参考にしてください。