ReliaQuest のセキュリティアナリストは、攻撃者が一見無害な器――Windowsのスクリーンセーバーファイル――の中にリモートアクセス機構を隠し込む高度なフィッシングキャンペーンを暴きました。こうしたファイルを一度操作するだけで、リモート管理ツールが密かに起動・導入され、日常的な運用手順を装ったまま、攻撃者にワークステーションへの完全な支配権を与え得ます。
標的には、プロフェッショナルな体裁で作成されたメッセージが送られ、クラウドリポジトリ内の文書を装ったリンクが含まれます。しかし実際には、そのリンクは.scr拡張子のファイルへと誘導します。多くの人がこれらを無害な画面装飾だと捉えていますが、Windowsのアーキテクチャ上では完全に機能する実行ファイルです。攻撃者は「InvoiceDetails.scr」や「ProjectSummary.scr」といったもっともらしい名称を用いて疑念を薄め、実行を促します。
起動されると、そのファイルは正規のリモート監視・管理(RMM)ユーティリティを静かに展開します。この種のソフトウェアは管理者によるワークステーション支援の定番であるため、防御フレームワークはしばしば有害なものとして分類できません。その結果、犯行者は正当な技術作業を装った永続的なリモート足場を確立し、長期間にわたり検知を回避します。
研究者らは、この攻撃がレピュテーション(評判)ベースのセキュリティフィルタを回避するよう設計されていると指摘しています。独自インフラではなく一般的なクラウドプラットフォーム上にこれらのファイルをホスティングすることで、攻撃者はブロックリスト化の取り組みを難しくし、インシデント対応を遅延させます。具体的なサービスやユーティリティは変わり得るものの、根本的な手法は再現性が高く、拡張もしやすいものです。
RMMツールを介して足場を確保すると、攻撃者はラテラルムーブメントを実行し、機微情報を持ち出し、認証情報を収集し、最終的にはランサムウェアを展開できる立場になります。調査された複数の侵入事例では、外部のコマンド&コントロール(C2)サーバーに関連するテレメトリが確認され、より大規模な侵害に向けた準備段階を示していました。
専門家は、この脆弱性が.scrファイルに対する一般的な過小評価と、正規のリモートサポートユーティリティへの不当な信頼によって悪化していると強調します。多くの企業環境では、これらのツールは既定で許可されており、アプリケーション実行ポリシーもスクリーンセーバーを実行リスクとして分類できないことが少なくありません。
実務者は、スクリーンセーバーファイルをあらゆる実行可能ソフトウェアと同等の厳格さで扱うべきだと提唱しています。ユーザーのダウンロードディレクトリやデスクトップからの.scrファイル実行を禁止するか、厳格に制限することが推奨されます。さらに、組織は承認済み管理ツールの精選された「許可リスト」を維持し、その種のエージェントが異常にインストールされる事象を監視すべきです。サードパーティのファイル共有サービスへのアクセスや、そこからの実行ファイル取得を制限することは、この種および類似の侵入ベクターに対する重要な防壁となります。
