概要
Mark of the Web(MoTW)は、ユーザーがインターネットを介してダウンロードしたファイルを識別してセキュリティ警告を表示する Windows の機能であり、ファイルを開く際にセキュリティ警告ウィンドウを表示したり、保護モードで実行するよう制限したりするものである。しかし、攻撃者は様々な方法で Mark of the Web(MoTW)を回避しており、初期侵入あるいはマルウェアの配布時にその方法を活用している。本記事では Mark of the Web(MoTW)の基本概念とコンポーネントを紐解き、主な脆弱性および悪用事例を取り上げていく。
Mark Of The Web とは?
Mark of the Web(MoTW)は Microsoft Windows OS のセキュリティ機能の1つであり、インターネットからダウンロードしたファイルに「Zone.Identifier」という NTFS Alternate Data Stream(ADS)を追加して、当該ファイルの出どころを表示する。これにより、ユーザーがインターネットからダウンロードしたファイルを開く際にセキュリティ警告を表示する、または実行を制限する役割を担う。
Mark of the Web(MoTW)が適用されたファイルは以下のような特徴を持つ。
- Microsoft Office ドキュメント:Protected View モードで開かれる
- 実行ファイル(.exe、.dll):Windows SmartScreen による警告を表示
- スクリプトファイル(.js、.vbs、.ps1):実行の警告または遮断
例えば、インターネットからダウンロードした実行ファイル(.exe)、スクリプトファイル(.ps1)、Office ドキュメント(.docx、.xlsx)などを開くとき、以下のようなセキュリティ警告メッセージが表示される。
Zone.Identifier ADS は「ファイル名:Zone.Identifier:$DATA」の形式でファイルパス上に生成され、ファイルの出どころに関する情報を含む。ファイルの出どころに関する情報を含む ZoneTransfer セクションは、以下のような形式を持つ。
| Zone.Identifier の構造および説明 | |
| [ZoneTransfer] ZoneId= ReferrerUrl= HostUrl= | Zone.Identifier セクションであることを表示 ファイルのセキュリティ領域情報 ファイルをダウンロードした Web ページ 実際にファイルがダウンロードされた URL |
Windows は、ファイルのセキュリティ領域情報(ZoneId)を以下のように区分する。
| ZoneId | 説明 |
| 1 | ローカルコンピューター領域 |
| 2 | ローカルイントラネット領域 |
| 3 | 信頼できるサイト領域 |
| 4 | インターネット領域(デフォルトで MoTW を適用) |
| 5 | 制限されたサイト領域 |
特定のファイルに対する Zone.Identifier は、以下のように確認することができる。
| CmdLine を利用した確認 |
 [図3] CmdLine を利用した Zone.Identifier の確認 |
| PowerShell を利用した確認 |
 [図4] PowerShell を利用した Zone.Identifier の確認 |
Mark of the Web(MoTW)を回避する脆弱性および悪用事例
最近、多数の Mark of the Web(MoTW)を回避する脆弱性が発見されており、攻撃者はこれを悪用することでマルウェアを配布、または初期侵入時に活用している。
1. 7-Zip の Mark of the Web(MoTW)を回避する脆弱性 (CVE-2025-0411)
一般的に、圧縮ファイル内部のファイルは Mark of the Web(MoTW)属性を維持する。しかし、7-Zip 24.09 以前のバージョンで二重圧縮されたファイルの Mark of the Web(MoTW)フラグが正常に伝播しない脆弱性(CVE-2025-0411)が発見された。この脆弱性を悪用すると、二重圧縮ファイル内部のファイルを開く際にセキュリティ警告が発生しない。この脆弱性は、2024年9月からロシアのハッカーによりウクライナの政府および民間組織を対象としたゼロデイ攻撃で悪用(外部サイト、英語にて提供)された。攻撃者は SmokeLoader のようなマルウェアを配布するためにこの脆弱性を利用した。
2. LNK Stomping (CVE-2024-38217)
Windows ショートカット(.lnk)ファイルは実行ファイルを示すショートカットファイルであり、ユーザーがクリックすることで当該プログラムが実行され、デフォルトで MoTW が適用される。しかし、ショートカットファイルが追加文字(例:ピリオド)で終わる実行ファイルを示す場合(例:powershell.exe.)、Windows は当該パスから追加文字を自動で削除して修正されたショートカットファイルをディスクに再保存するが、このプロセスで MoTW が削除される。これにより SmartScreen や Smart App Control が当該ファイルを不正ファイルと認識できなくなり、不正なプログラムが警告なしで実行されてしまうおそれがある。Elastic Security の研究員である Joe Desimone は24年、8月にこの欠陥に関するブログを掲載したが(外部サイト、英語にて提供)、攻撃者が数年間にわたりこの脆弱性を悪用(外部サイト、英語にて提供)してきたと報告した。
3. Copy2Pwn (CVE-2024-38213)
WebDAV は HTTP を拡張したプロトコルであり、ファイルの共有およびバージョン管理をサポートしているが、WebDAV 共有フォルダーで共有されるファイルをコピーすると、Windows エクスプローラー(Windows Explorer)が処理を行い MoTW 属性を適用しない。この脆弱性は、DarkGate キャンペーンのような実際の攻撃で悪用(外部サイト、英語にて提供)された。攻撃者は、WebDAV による共有を通じて不正なファイルを配布し、これによってユーザーのシステムに LummaStealer などのマルウェアをインストールして、機密データを窃取した。
結論
Mark of the Web(MoTW)を回避する脆弱性は、悪意を持ったファイルがユーザーのシステム上で警告なしで実行されるようにし、セキュリティ上のリスクを増加させる。これらの脆弱性を悪用した事例は、ユーザーに深刻な被害を及ぼす可能性があり、被害を防止するためには最新のセキュリティアップデートを適用し、疑わしいファイルを開かないようにすることが重要である。セキュリティソフトウェアを使用して MoTW 属性をもとにファイルの出どころを明らかにし、不正なファイルを検知することが必要である。
参考資料(外部サイト、英語にて提供)
- MITRE ATT&CK – Mark of the Web
- https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html
- https://www.elastic.co/security-labs/dismantling-smart-app-control
- https://veriti.ai/blog/veriti-research/cve-2024-38213
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: 脆弱性