スパムメール内のZIP爆弾添付ファイルを見分ける方法

スパムメール内のZIP爆弾添付ファイルを見分ける方法

スパムの中の“静かな爆弾”を見抜く

2024年8月6日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 How to Spot Zip Bomb Attachments in Spam Emails? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

あなたが業務上の作業をしている場合でも、個人情報をオンラインで扱っている場合でも、データはサイバー攻撃から保護される必要があります。
ウイルスやZIP爆弾をメール経由で送信することは、詐欺師たちのお気に入りの手口です。

ZIP爆弾は「死のZIP(Zip of death)」または「解凍爆弾(decompression bomb)」とも呼ばれます。
これらはわずか数キロバイトのアーカイブファイルで、一見すると正常に動作しているように見えますが、後にシステムを攻撃してデバイスを無効化します。
これらは通常、メールの添付ファイルを通じて拡散します。

したがって、スパムメールを注意深く確認し、関連するZIP爆弾を除外することが重要です。
この記事では、スパムメール内の不要なZIP爆弾を見分け、デバイスのクラッシュを防ぎ、メールのセキュリティを強化する方法を紹介します。

重要なポイント

  1. ZIP爆弾は一見無害に見えることがありますが、解凍時にメモリやストレージを圧倒してデバイスをクラッシュさせる可能性があります。
  2. 動作ベースの検出は、解凍プロセス中の異常な活動を監視することでZIP爆弾を特定するのに役立ちます。
  3. 機械学習やAIを活用することで、スパムメール内の有害な添付ファイルを識別する検出能力を強化することができます。
  4. 信頼できるメールサービスが提供するメールフィルターを使用すれば、ユーザに届く前に潜在的な脅威を自動的に検出し、警告を出すことができます。
  5. サンドボックス環境を利用して疑わしいファイルを開くことで、マルウェアがメインデバイスに影響を及ぼすのを防ぐことができます。

ZIP爆弾とは何か

ZIP爆弾は、開くとデバイスの正常な動作を妨害する悪意のあるアーカイブファイルです。
これらは一般的に「死のZIP(Zip of Death:ZOD)」または「解凍爆弾(Decompression Bomb)」とも呼ばれます。
このようなファイルはインターネット上のどこにでも存在し、ハッカーによってメールを通じて頻繁に配布されます。

最初はZIP爆弾が無害な.zipファイルのように見えるかもしれません。
しかし、一度解凍すると、ハードドライブに過剰な負荷をかけ、デバイスが処理しきれずクラッシュすることがあります。
ZIP爆弾は、わずか数バイトのデータしか含まれていないように見えることから「解凍爆弾」とも呼ばれますが、実際にはハードドライブをクラッシュさせるほど巨大なデータセットを含んでいます。

圧縮爆弾の概念図

ZIP爆弾の添付ファイルはどのように動作するのか?

ZIP爆弾は、少量のデータを極めて小さなアーカイブファイルに圧縮することで、圧縮アルゴリズムを破壊します。
このデータが解凍されると、数千バイトにまで膨張します。
この指数的なデータの増加により、ギガバイトやテラバイト規模にまで拡大し、ハードドライブに過剰な負荷を与えます。

再帰型ZIP爆弾
再帰型ZIP爆弾とは、多層の圧縮ファイルが互いにリンクされた悪意あるファイルの一種です。
これは、ファイルの連鎖を起動させることで動作します。

この仕組みにより、入れ子構造を形成し、「ZIPクワイン(zip quine)」とも呼ばれます。
誰かが再帰型ZIP爆弾を解凍しようとすると、コンピュータは多数のファイル層に圧倒されます。
その結果、アプリケーションや場合によってはコンピュータ全体がクラッシュすることがあります。
非再帰型ZIP爆弾
非再帰型ZIP爆弾は再帰型とは異なり、複数のファイルを重ね合わせて単一層により多くのデータを圧縮することができます。
つまり、各層を順に解凍するのではなく、ZIP爆弾全体が一度に解凍され、最大限まで膨張するのです。
これにより、非再帰型ZIP爆弾はより破壊的で強力な攻撃手段となります。

スパムメール内のZIP爆弾の特定

システムを保護するためには、スパムメール内のZIP爆弾の添付ファイルを検出する必要があります。
ここでは、スパムフォルダ内の悪意あるファイルを特定するための2つの方法を紹介します。

動作ベースの検出
ファイルを解凍する際には、その動作を注意深く観察する必要があります。
ZIP爆弾を含むファイルは、しばしば異常な動作を引き起こします。
これらのファイルは見た目は小さくても、コンピュータのメモリを大量に使用したり、解凍時に多くのリソースを消費することがあります。

ZIP爆弾による被害を防ぐために、最新のソフトウェアやシステムの中には、こうした異常なパターンを検知する機能を備えているものもあります。
そのため、実際に被害が発生する前にシステムが対策を講じることができます。
機械学習とAI技術の導入
機械学習や人工知能(AI)は、システム上の不要なファイルを検出するのにも役立ちます。
AIモデルは大量のデータセットで学習することで、スパムメール内のZIP爆弾による脅威を見つけ出すことができます。
機械学習を用いることで、ZIP爆弾の添付ファイルを容易に検出・分類し、脅威から保護することが可能になります。

ZIP爆弾の添付ファイルを見分ける方法

以下は、スパムメール内のZIP爆弾の添付ファイルを検出するいくつかの方法です。

ZIP爆弾でよく使用されるファイル形式
ZIP爆弾には特定のファイルサイズがあるわけではありませんが、解凍爆弾として送信される多くのドキュメントやファイルは数ギガバイトの容量を持っています。
しかし、実際に見つけたときには非常に小さく見えることがあります。
そのため、解凍する前に正しいファイルサイズが表示されていないファイルには注意を払うことが重要です。
  • ZIP爆弾として送られる動画ファイルは、通常4K解像度であり、数分程度の動画であっても非常に多くのデータを消費します。
  • 画像ファイルの場合は、単一の高解像度写真の形式で送られることが多く、サイズは2メガバイト程度から40メガバイトほどまでさまざまです。
  • ZIP爆弾のPDF添付ファイルは、主に10キロバイト前後のものが多いですが、ページ数やフォーマットによってサイズは大きく変動します。
ウイルス対策ソフトとマルウェア対策ソフト
さまざまなウイルス対策ソフトは、異常なメール添付ファイルを検出し、システムのクラッシュを防ぐのに有効です。
ファイルは、解凍する前に Norton 360、Kaspersky、または Quick Heal Security などのソフトウェアでスキャンすることができます。

これらのソフトウェアは、ファイルの構造や圧縮形式、悪意のあるアーカイブを分析する強力なツールとして機能します。
信頼性が高く正規のマルウェア対策ソフトは、メールに添付された潜在的なマルウェアを常に監視しています。
圧縮率
非再帰型ZIP爆弾を識別するには、圧縮率を確認することが非常に有効です。
このタイプのZIP爆弾は、高いデータ圧縮率を使用します。

通常、その比率は「1032対1」です。
さらに、多くのZIP爆弾はすべてのファイルに単一のカーネルを使用し、「数百万対1」という圧縮率を実現しています。
ここでいう「カーネル(Kernel)」とは、1つのファイルに圧縮された内容のことを指します。

ZIP爆弾攻撃へのベストプラクティス

メールのセキュリティを最新の状態に保つことは、マルウェアやZIP爆弾の添付ファイルから受信トレイを守るために非常に重要です。
以下では、これらの脅威を防ぐために実践できる対策を紹介します。

メールフィルターの利用
多くの信頼できるメールプロバイダは、強力なセキュリティ機能を提供しています。
これには、受信メールを分析し、なりすましなどの潜在的な脅威を検出するさまざまなフィルターが含まれます。

これらのフィルターは、不要なファイルを受信トレイやスパムフォルダ内で検出することができます。
また、詐欺的な添付ファイルの圧縮率を評価し、それらを高リスクな添付ファイルとして警告することも可能です。
安全なアプリケーションを使用してファイルを開く
ファイルを解凍する際は、保護されたサンドボックス環境を使用してください。
この方法では、いくつかの技術的な手順が必要ですが、ファイルを実際のデバイスで実行する前にテストすることができます。
サンドボックスはファイルを実デバイスから隔離するため、メインデバイスで開く前にマルウェアを検出するのに役立ちます。
メール認証プロトコルの使用
SPF、DKIM、DMARCといった認証済みのメール認証プロトコルは、自社ドメインから送信されるメールをなりすましや偽装から保護するのに有効です。
なりすましドメインから送信されるフィッシングメールには、ZIP爆弾の添付ファイルが含まれている場合もあります。
これは企業活動に大きな混乱を引き起こし、ブランドの信頼を損なう原因になります。

DMARCは、SPFやDKIMの検証に失敗したメールをどのように処理するかについて、ポリシーに基づいた判断を行うことを可能にします。
厳格なポリシーや整合性チェックを適用することで、悪意のあるメール添付をブロックできます。
PowerDMARCを使用すれば、ユーザーフレンドリーなインターフェース上でメール認証データを監視し、自社ドメイン向けに安全に厳格なDMARCポリシーへ移行することができます。

まとめ

スパムメール内のZIP爆弾の添付ファイルを見分けることは、悪意ある脅威から資産を守るために非常に重要です。
異常に大きなファイルサイズ、不審な送信者、予期しない添付ファイルなどの兆候を見逃さずに警戒を続けることで、これらの有害なファイルによる潜在的な被害を防ぐことができます。

常に最新のセキュリティソフトを使用し、一般的なフィッシング手口について学んでおくことを忘れないでください。
そうすることで、個人データを保護するだけでなく、より安全なオンライン環境づくりにも貢献できます。
常に警戒を怠らず、知識を持って行動し、デジタル世界を安全に保ちましょう。