Windowsのショートカットファイル(.lnk)を悪用したサイバー攻撃が増加しています。見た目は普通のファイルに見えるため、セキュリティソフトをすり抜けやすいのが厄介なポイントです。しかし、攻撃の仕組みを理解すれば、適切に防御することができます。
LNKファイルとは何か
LNKファイルは、Windowsのショートカットファイルのことです。デスクトップにあるアプリのアイコンをダブルクリックしてプログラムを起動する、あの仕組みです。通常は無害なファイルですが、攻撃者はこのLNKファイルにコマンドを埋め込むことで、マルウェアのダウンロードや実行を行わせます。
なぜLNKファイルが狙われるかというと、Windowsがデフォルトで拡張子「.lnk」を非表示にするからです。つまり、ユーザーからはショートカットなのかどうかが判断しにくい状態になっています。さらに、メールのセキュリティフィルターがLNKファイルを危険と判定しないケースもあり、攻撃者にとって都合の良い侵入経路になっているわけです。
攻撃の具体的な流れ
典型的な攻撃パターンは以下の通りです。
- ステップ1:攻撃者がメールにZIPファイルを添付。中にはPDFやWordに見せかけたLNKファイルが入っています
- ステップ2:ユーザーがファイルをダブルクリックすると、LNKに埋め込まれたPowerShellコマンドが実行されます
- ステップ3:コマンドが外部サーバーからマルウェアをダウンロード・実行。この時点でPCが感染します
- ステップ4:マルウェアが認証情報の窃取やランサムウェアの展開を行います
最近のLNK攻撃の特徴
2025年から2026年にかけて報告されている攻撃では、LNKファイルの中に数百行にも及ぶ難読化されたPowerShellスクリプトが埋め込まれるケースが増えています。これはセキュリティソフトの静的解析を回避するためです。
また、LNKファイルのアイコンをPDFやExcelのものに偽装する手法も一般的です。ユーザーからは「請求書.pdf」のように見えるのに、実際にはショートカットファイルだった、というケースが後を絶ちません。
対策方法
最も効果的な対策は、Windowsの設定で「ファイル拡張子を表示」をオンにすることです。これにより、.lnkファイルかどうかを見分けやすくなります。設定方法は、エクスプローラーの「表示」タブから「ファイル名拡張子」にチェックを入れるだけです。
加えて、メールの添付ファイルは直接開かず、まず右クリックで「プロパティ」を確認する習慣をつけましょう。LNKファイルの場合、プロパティに「リンク先」という項目があり、不審なコマンドが記載されていれば攻撃ファイルだとわかります。
企業レベルでは、グループポリシーでPowerShellの実行ポリシーを制限したり、AppLockerで許可されたアプリケーション以外の実行をブロックしたりする方法が有効です。
まとめ
LNKファイルを使ったサイバー攻撃は、見た目の巧妙さが特徴です。しかし、拡張子の表示設定と添付ファイルの確認という基本的な対策で、多くの攻撃を防ぐことができます。メールで受け取ったファイルは、開く前に一度立ち止まって確認する習慣をつけましょう。