- マイクロソフトの2025年11月の「Patch Tuesday」で63件の脆弱性が修正され、その中にはWindowsのLNKファイルに関するCVE-2025-9491も含まれている
- このバグにより、攻撃者はショートカットファイル内に悪意あるコマンドを隠し、RCE(リモートコード実行)攻撃を可能にしていた
- 2017年以降、中国、イラン、北朝鮮、ロシアの国家支援グループにより悪用されており、深刻度は7.8/10と評価されている
2025年11月のPatch Tuesday累積アップデートにより、ハッカーが長年悪用してきた脆弱性が修正された。
11月12日、マイクロソフトは63件の脆弱性に対処するパッチを公開した。その中には、「Microsoft Windows LNKファイルのUI誤認表示」脆弱性も含まれており、武器化されたショートカット(.LNK)ファイルを介したリモートコード実行(RCE)攻撃を可能にしていた。
米国のNational Vulnerability Database(NVD)によると、「細工されたデータが.LNKファイル内に含まれている場合、Windowsが提供するユーザーインターフェースを通じてファイルを確認しても、その中の危険なコンテンツがユーザーから見えなくなる可能性がある。この脆弱性を悪用することで、攻撃者は現在のユーザーのコンテキストでコードを実行できる。」とされている。
長年にわたり悪用
言い換えると、このバグにより、攻撃者はショートカットが実際に何を行うのかを隠すことができる。被害者がショートカットファイルを右クリックしてプロパティを確認しても、Windowsはファイルの完全なパスや実行されるコマンドを隠してしまい、実際には危険であっても安全なファイルのように見せてしまう。
このバグは現在CVE-2025-9491として追跡されており、深刻度スコアは7.8/10(高)とされている。
サイバー犯罪者が.LNKファイルに目を付けたのは数年前、マイクロソフトがダウンロードされたOfficeファイルでのマクロ使用を初めて禁止した頃にさかのぼる。より最近では、Trend MicroのZero Day Initiative(ZDI)が、このバグが中国、イラン、北朝鮮、ロシアの11の国家支援グループによって武器化され、サイバースパイ活動、データ窃取、詐欺に利用されていると報告しており、その悪用は少なくとも2017年から続いているようだ。
当初、マイクロソフトはこれを修正したがらず、The Hacker Newsに対して、それほど大きな問題ではないと伝えていた。また、.LNK形式はOutlook、Word、Excel、PowerPoint、OneNoteでブロックされており、これらのファイルを実行しようとしたユーザーには、未知の送信元からのドキュメントを開かないよう警告が表示されるとも説明していた。
しかし、複数のサイバーセキュリティ企業がこの脆弱性の悪用について警鐘を鳴らし、国家支援の攻撃者も同様にこのバグを利用していると指摘したことから、マイクロソフトは最終的に修正に踏み切った。
