Microsoft:Windows の新たな LNK スプーフィング問題は脆弱性ではない
Original Title: Microsoft: New Windows LNK spoofing issues aren’t vulnerabilities
Published (UTC): 2026-02-12T12:01:00+00:00
要旨(日本語)
– セキュリティ研究者 Wietze Beukema が Wild West Hackin’ Fest で、Windows の LNK ショートカットを悪用して不正ペイロードを実行させる新手法を複数公開。
– LNK は Windows 95 以来の複雑なバイナリ形式で、エクスプローラーが複数の任意データ構造間の矛盾するターゲット指定をどう優先するかの不整合を突くことで、表示されるターゲットと実際に実行されるプログラムが食い違う。
– 具体的には、二重引用符などの禁止文字を使って一見妥当だが無効なパスを作り表示と実行先を分離する手口や、LinkTargetIDList と LinkInfo の不整合を利用して別のパスを実行させる手口が確認された。
– 最も強力な手法は EnvironmentVariableDataBlock を細工し、ANSI フィールドのみ設定・Unicode を空にして、プロパティでは無害な名称を見せつつ実際は PowerShell などを実行でき、環境変数の展開も可能。
– これによりターゲットやコマンドライン引数を完全に偽装・隠蔽でき、LNK を開くと即時に「本当の」ターゲットが走るため、ユーザーのプロパティ確認は当てにならない。
– 根本要因はエクスプローラーが不正な LNK を寛容に扱い、無効なファイルを拒否せず偽装情報を表示してしまう挙動にある。
– Beukema は OSS ツール群「lnk-it-up」を公開し、これらの手法で LNK を生成・検証し、表示内容と実際の実行先の差異から不審な LNK を特定可能にした。
– Microsoft Security Response Center への報告(VULN-162145)は「ユーザー操作が必要でセキュリティ境界を破らない」として脆弱性扱いされず、即時修正の対象外。Microsoft Defender や Smart App Control による検出・ブロックを案内。
– Microsoft はインターネット由来の .lnk で警告が出る点を強調し注意喚起する一方、Beukema はユーザーが警告をクリックで無視しがちだとして、同様の手口が成功してきた実情を指摘。
– 関連する CVE-2025-9491 は過剰な空白で引数を隠蔽できる問題で、Evil Corp、Bitter、APT37、APT43(Kimsuky)、Mustang Panda、SideWinder、RedHotel、Konni など少なくとも 11 グループが長年ゼロデイ悪用。Microsoft は当初消極的だったが 2025年6月に LNK の挙動を変更して緩和に動いた。
– Trend Micro は 2025年3月に広範な悪用を報告し、Arctic Wolf は Mustang Panda による欧州外交官(ハンガリー、ベルギー等)を狙った PlugX 配布のゼロデイ攻撃を確認。
– 記事末尾では、Tines によるワークフロー自動化ガイド(手作業遅延の削減や信頼性向上、既存ツール上でのインテリジェントな自動化の構築)も併せて紹介。