ソーシャルメディアを通じて画像がコンピュータに感染する方法

もしあなたがある程度の技術に精通しているなら、システムが感染したと聞くと、通常はその最も安全な機能をハイジャックした実行可能なコードの一部を思い浮かべるでしょう。感染はさまざまな方法で広がる可能性がありますが、一つ確かなことがあります：ウイルスと実行可能なコードの間のリンクは非常に強いため、JPEG、PNG画像、MP3ファイルなどのファイルタイプから自分を守る必要があるとは必ずしも考えません。そうでしょうか？前述の主張に反して、私が言及した最初の2つのファイルタイプは、FacebookやLinkedInのソーシャルメディアメッセージングシステムを通じてコンピュータを感染させるために使用されてきたと、2016年11月27日にEngadgetのジョン・フィンガスが報告しています。

何が起こっているのか？

2016年2月18日、シマンテックはウェブを通じて広がる新しいバリアントのランサムウェアの奇妙なソフトウェアを発見しました（ランサムウェアが何か知らない場合は、こちらを参照してください）。この特定の株 – ロッキーとして知られる – は、2016年1月から3月の間に、添付ファイル付きのスパムメールを通じて、毎週約1万から2万の犠牲者に広がりました。このようにウイルスが広がるのを見るのは必ずしも衝撃的ではありません。ZIP添付のメールメッセージは、90年代初頭からの定番の予防策です。

その後、別のことが起こりました。

2016年11月の終わり頃、FacebookやLinkedInのユーザーは画像添付ファイル付きのメッセージを目にし始めました。それらはかなり安全に見えますが、開くと、システムのファイルを暗号化し、犠牲者が200ドルから400ドルの間の身代金を支払った場合にのみそれらを解除する新しいロッキーの株が現れました。最も衝撃的なのは、ウイルスが従来の実行されたコードではなく、画像を通じて広がったことです。

すべてが見かけ通りではない

画像が確かにソーシャルメディアで人々を感染させるために使用されているとはいえ、見た目とは少し違います！私はロッキーのメカニズムとその滑らかな方法を少し深く掘り下げてみましたが、実際には「あなたを狙っている」JPEGの束以上の物語があるようです。

まず、誰かにマルウェアを送信する際に配布しているのは、ソーシャルメディア上で誰かに画像を渡しているという印象です。FacebookとLinkedInのコードには、特定のファイルが画像アイコンと共に転送されることを許可する欠陥があり、受信者は誰かのペットの猫や新しい庭の無害な写真を受け取ったと信じ込むことになります。受信者が実際にダウンロードするのは、HTAファイルであり、1999年から存在する非常に古いWindows用の実行可能プログラムです（90年代のソフトウェアが完全に狂っていた理由のリストに追加すべきもう一つの項目です）。

基本的に、HTAアプリケーションはEXEのようなもので、ただ「mshta.exe」の上にレイヤーされています。管理者がシステムに迅速に変更を加えるために使用されていました。彼らは実行されているシステムの完全な「信頼」を持っているため、彼らのコードが許可する限り、あらゆる種類の混乱を引き起こす自由があります。

感染を防ぐ方法

ロッキーに感染したら、セーフモードで起動している間にそれを削除できるアンチマルウェアアプリケーションを見つけることを願う以外にできることはあまりありません。しかし、最初から感染を防ぐのは非常に簡単です。Facebookで画像ファイルを受け取ったとき、下の画像のようにプレビューが表示されない場合、ダウンロードを促される可能性があります。

ファイルをダウンロードしたら、その拡張子を確認してください。JPG、JPEG、PNG、または画像のように見えるものが表示されていない場合、それはおそらくウイルスです。私たちはHTA形式のロッキーを見てきましたが、他の種類の実行可能コード（.COM、.PIF、.SCR、.CPL、.JAR、.APPLICATION、.EXE、.MSIなど）でも現れる可能性があります。ファイル拡張子に注意を払い、認識できないものには警戒してください。受け取ったファイルが画像であるかどうかを確認する確実な方法の一つは、表示スタイルを「大アイコン」に変更したときにWindowsエクスプローラーがプレビューを表示するかどうかを見ることです。

他に共有したい素晴らしいアドバイスはありますか？コメントで教えてください！