マルウェアにファビコン(.ico)が隠れているかを見つける方法とは？

Sucuriは2022年9月6日(米国時間)、「How Are Favicon (.ico) Files Used in Website Malware?｜Sucuri Blog」において、マルウェアでファビコン(.ico)ファイルがどのように使われるかを解説した。ファビコンとは何かや攻撃者によるファビコンや.icoファイルを悪用したマルウェアの使用例、検知方法などが紹介されている。

ファビコンは、ブックマークアイコン、ショートカットアイコン、Webサイトアイコン、タブアイコン、URLアイコンとも呼ばれ、Webサイトが複数のタブを開いているときに訪問者がページを見つけやすくするために使用されるファイル。サイズは16×16から512×512まであり、ほとんどのWebサイトがカスタマイズやブランディングのためにファビコンを使用している。このファビコンファイルがマルウェア(というより、単に.icoという拡張子を使った悪意のあるファイル)に悪用されている。

例えば、感染プロセス時に攻撃者によって新たな.icoファイルが作成され、そのファイルはアイコンではく実際には悪意のあるPHPが含まれている。また、ファビコンは比較的安全なアイコンファイルとみなされているため、悪意のある.icoファイルがアップロードされ、実行されてしまう。その他、WooCommerce環境においてファビコンにクレジットカードのスキミングを行うペイロードが隠蔽されているという事例も報告されている。

ファビコンにマルウェアが隠されているかどうかを検出する方法として、Webサイトのチェック方法が紹介されている。紹介されているチェック方法は次のとおり。

Sucuriが提供している無料のスキャンサービスSucuri SiteCheck - Free Website Security Check & Malware Scannerを使用してWebサイトをスキャンする
Googleが提供しているGoogle 透明性レポートを利用してWebサイトをスキャンする
WordPressユーザーであれば、WordPressのプラグインリポジトリから利用可能な無料のセキュリティスキャンプラグインを導入する

Sucuriはファビコンまたは.icoマルウェアの感染のクリーンアップが完了したら、セキュリティのベストプラクティスと強化技術に従い、Webサイトを強化して保護するよう推奨している。