chmファイル: 知られざる脅威
セキュリティを高めたい
先生、「chmファイル」ってなんですか?セキュリティのニュースで時々見かけるんですけど…
情報セキュリティ専門家
chmファイルは、ウェブサイトのような情報をひとまとめにしたファイル形式だよ。 ただ、便利な反面、悪意のあるプログラムを埋め込むために悪用されることもあるんだ。
セキュリティを高めたい
えー!じゃあ、うっかり開いちゃったら危ないってことですか?
情報セキュリティ専門家
その可能性もあるね。怪しいchmファイルは開かない、信頼できる提供元のもの以外は利用しないなど、注意が必要だよ。
chmファイルとは。
「chmファイル」は、ウィンドウズ95から導入された、オンラインヘルプに使われるファイル形式です。「Compiled HTML」(コンパイル済み エイチティーエムエル)を略して「chmファイル」と呼ばれています。 エイチティーエムエルヘルプコンパイラを使うことで、 エイチティーエムエルや画像、スクリプトなどをまとめて一つのchmファイルにすることができます。 chmファイルには、VBAやJScript、Java、ActiveXなどのスクリプト言語を埋め込むことができるため、悪意のある者が検知を逃れるために悪用されるケースがあります。例えば、フィッシング詐欺やソーシャルエンジニアリングといった手法と組み合わせて使われることがあります。 また、より見つかりにくくするために、近道ファイルやPDFファイルなどから悪意のあるchmファイルを呼び出して実行する方法も確認されています。 chmファイルを悪用したマルウェアの例としては、vidarやAgentTesla、北朝鮮の脅威グループKimsukyなどがあります。 この攻撃を防ぐ方法の一つとして、chmファイルを実行するウィンドウズのプログラムであるhh.exe(エイチエイチ ドット イーエックスイー)(HTMLヘルプ実行プログラム)を監視する方法があります。
chmファイルとは
– chmファイルとは
chmファイルは、「Compiled HTML」(編集されたHTML)の略で、Windows 95から導入された、オンラインヘルプに使われるファイル形式です。複数のHTMLファイルや画像、プログラムなどを一つにまとめることができるので、Windowsパソコンでヘルプなどの資料を閲覧する際によく利用されます。
chmファイルは、HTMLヘルプコンパイラという専用のソフトを使って作成します。このファイル形式の利点は、複数のファイルを一つにまとめられるという点にあります。これは、ウェブサイトのように複数のページで構成された資料でも、chmファイル化することで、ユーザーが閲覧する際に必要なファイルが一つにまとまり、管理や配布が容易になるというメリットがあります。また、chmファイルは圧縮されているため、ファイルサイズが小さくなる点もメリットです。
chmファイルは、Windowsに標準搭載されている「HTMLヘルプビューア」というソフトで開くことができます。chmファイルを開くと、目次や索引、検索機能などが表示され、目的の情報を探しやすくなっています。
項目 | 内容 |
---|---|
正式名称 | Compiled HTML |
概要 | Windowsでオンラインヘルプに使われるファイル形式。複数のHTMLファイルや画像などを一つにまとめることができる。 |
メリット | – 複数のファイルを一つにまとめられる – 圧縮されているためファイルサイズが小さい |
作成方法 | HTMLヘルプコンパイラなどの専用ソフトを使用 |
閲覧方法 | Windows標準搭載の「HTMLヘルプビューア」を使用 |
chmファイルが悪用される理由
– chmファイルが悪用される理由chmファイルは、複数のHTMLファイルをまとめて一つのファイルとして扱えるため、ヘルプファイルや電子書籍などに広く利用されています。しかし、この便利なchmファイルは、その特性を悪用し、悪意のあるコードを実行させるための手段として使われるケースが増加しています。chmファイルには、VBA、JScript、Java、ActiveXといった、プログラムを実行できる機能を持ったスクリプト言語を埋め込むことが可能です。攻撃者はこの機能を悪用し、chmファイルを開いたユーザーのPC上で、ユーザーが気付かないうちに悪意のあるコードを実行させようとします。従来型のセキュリティ対策ソフトは、実行ファイル(*.exe)などを検査対象とするものが多く、chmファイルのような一見無害に見えるファイルは検査対象から外れているケースがありました。そのため、chmファイルを経由した攻撃は、従来のセキュリティ対策をすり抜けてしまう可能性があり、攻撃者にとって格好の隠れ蓑となってしまうのです。chmファイルを開く際は、信頼できる提供元からのファイルかどうかを確認するなど、利用者側もセキュリティ意識を高めることが重要です。
chmファイルが悪用される理由 | 対策 |
---|---|
複数のHTMLファイルをまとめられる特性上、VBA、JScript、Java、ActiveXなどのスクリプトを埋め込むことが可能 | 従来のセキュリティ対策ソフトでは検知できない場合があるため、信頼できる提供元からのファイルかどうかを確認するなど、利用者側もセキュリティ意識を高める必要がある。 |
chmファイルが悪用される攻撃手法
近年、一見無害に見えるchmファイルが悪用され、コンピュータウイルスへの感染や情報漏えいといったセキュリティ上の脅威をもたらす事例が増加しています。chmファイルとは、複数のHTMLファイルをまとめた、いわば電子書籍のようなものです。
攻撃者は、このchmファイルの特徴を悪用し、ファイルを開いた途端に悪意のあるプログラムを実行させる攻撃を仕掛けてきます。例えば、攻撃者は、受信者をだますような件名や本文でメールを送りつけ、添付ファイルを開かせることで、ウイルスに感染させようとします。
さらに近年では、セキュリティソフトによる検知を逃れるため、より巧妙な手法も確認されています。例えば、一見無害に見えるショートカットファイルやPDFファイルを介して、間接的に悪意のあるchmファイルを実行するといった具合です。
こうした攻撃の被害に遭わないためには、出所の不明なファイルは安易に開かないということが何よりも重要です。たとえ、知り合いから送られてきたように見えるメールであっても、添付ファイルを開く前には、送信者に確認を取るなど、慎重に対応する必要があります。また、セキュリティソフトを最新の状態に保ち、怪しいファイルを実行しないよう、日頃から意識することも大切です。
脅威 | 概要 | 対策 |
---|---|---|
chmファイル悪用による攻撃 | 一見無害に見えるchmファイルを開かせ、悪意のあるプログラムを実行させる。 |
|
chmファイルを使った攻撃の例
– chmファイルを使った攻撃の例chmファイルは、マイクロソフトが開発したWindowsのヘルプファイル形式です。便利な反面、悪用するとコンピュータウイルスを仕込むことができてしまうため注意が必要です。chmファイルが悪用される攻撃として、例えば、メールに添付されたchmファイルを開くよう仕向けるものがあります。この場合、メールの本文はあたかも正規の組織からのメールのように装われ、添付されたchmファイルを開くように誘導されます。そして、利用者がうっかり添付ファイルを開いてしまうと、chmファイルに埋め込まれた悪意のあるプログラムが実行されてしまうのです。実際に、chmファイルを悪用したマルウェアの例として、Vidar、Agent Tesla、北朝鮮の脅威アクターKimsukyなどが知られています。これらのマルウェアは、chmファイルを介して感染を広げ、利用者の機密情報(パスワードやクレジットカード情報など)を盗み出したり、感染したコンピュータを遠隔操作して他の攻撃に利用したりするなど、様々な被害をもたらす可能性があります。このように、chmファイルを使った攻撃は、その手軽さゆえに、さまざまな攻撃者に悪用される可能性があります。そのため、不審なchmファイルは絶対に開かず、メールの添付ファイルを開く際は送信元をよく確認するなど、十分な注意が必要です。
攻撃手法 | 詳細 | 脅威アクターの例 | 被害 | 対策 |
---|---|---|---|---|
chmファイルを悪用した攻撃 | メールに添付されたchmファイルを開くよう誘導し、chmファイルに埋め込まれた悪意のあるプログラムを実行させる。 | Vidar, Agent Tesla, Kimsukyなど | 機密情報の盗難、遠隔操作による他の攻撃への利用 | 不審なchmファイルは開かない、メールの添付ファイルを開く際は送信元を確認する |
chmファイルによる攻撃から身を守るには
– chmファイルによる攻撃から身を守るにはchmファイルは、マイクロソフトが開発した、複数のHTML文書をまとめて閲覧できる便利なファイル形式です。しかし、この便利なchmファイルが悪意のある攻撃者に利用され、コンピュータウイルス感染などの被害に繋がるケースが増えています。chmファイルによる攻撃は、主に電子メールの添付ファイルや、信頼性の低いウェブサイトからのダウンロードを介して行われます。攻撃者は、これらのファイルに悪意のあるプログラムを埋め込み、ユーザーがファイルを開くように仕向けます。chmファイルを開いた途端、埋め込まれたプログラムが実行され、コンピュータがウイルスに感染したり、重要な情報が盗み出されたりする可能性があります。このようなchmファイルによる攻撃から身を守るためには、いくつかの有効な対策があります。まず、知らない人からの電子メールに添付されたchmファイルや、信頼できないウェブサイトからダウンロードしたchmファイルは、安易に開かないようにしましょう。もし、ファイルを開く必要がある場合は、送信元やウェブサイトの信頼性を十分に確認することが重要です。また、セキュリティ対策ソフトを常に最新の状態に保ち、chmファイルの実行を監視することも有効です。セキュリティ対策ソフトは、chmファイルに潜む悪意のあるプログラムを検知し、実行を阻止してくれます。さらに、Windowsのhh.exe(HTML Help executable program)は、chmファイルを表示するために使用されるプログラムですが、このプログラムの動作を監視することで、chmファイルが悪用されるのを防ぐことが可能になります。chmファイルは便利ですが、使い方を誤ると危険な場合もあることを認識し、適切な対策を講じるように心がけましょう。
攻撃経路 | 対策 |
---|---|
電子メールの添付ファイル | 知らない人からの添付ファイルは開かない。送信元やウェブサイトの信頼性を確認する。 |
信頼性の低いウェブサイトからのダウンロード | 信頼できないウェブサイトからのダウンロードはしない。ダウンロードする場合は、ウェブサイトの信頼性を確認する。 |
chmファイルの実行 | セキュリティ対策ソフトを最新の状態に保ち、chmファイルの実行を監視する。Windowsのhh.exeの動作を監視する。 |