[ホーム] > [サイバー攻撃大辞典 トップ] > [hta による不正プログラムの実行]


作成日:2020/09/16

hta による不正プログラムの実行

HTA ファイルによる Windows PC攻撃


hta による不正プログラムの実行とは hta の特性を使用してWindows 系 PCに攻撃を加える攻撃方法のこと。
hta とはダイナミック HTML の機能を使用して HTML アプリを実行する機能のこと。mshta.exe がこの機能のエンジン。
ファイルレスマルウェアのツールとして mshta.exe はよく使われる。


攻撃例


メールに不正な .hta を添付して送信する。

添付ファイルで exe , com , Microsoft Office ファイルや圧縮ファイルやリンクなどは開くと危険と広く認識されているが、.hta も危険であることを知らないユーザもいるかもしれない。
基本的に不信メールに添付されていたファイルはどれも危険である。十分な注意が必要である。

対策


(1)関連付けの解除
以下のコマンドで .hta が mshta.exe に関連付けされていることが分かる。

C:\>assoc .hta
.hta=htafile

C:\>ftype htafile
htafile=C:\Windows\SysWOW64\mshta.exe "%1" {<略称>」} %*


例えば以下のコマンドにより .hta を秀丸に関連付けすることにより、不正なプログラムが処理されない変更を行う。

C:\>assoc .hta=hidemaru.txt
.hta=hidemaru.txt


以下のコマンドは存在しないdummyというアプリを関連付けすることにより、.hta を実行しても何も処理されない変更を行う。

C:\>assoc .hta=dummy
.hta=hidemaru.txt



以下のレジストリキーで .hta の関連付けが行われているので害のないプログラムに変更する。

コンピューター\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hta


(2)ファイルのリネーム
推奨されないが mshta.exeの名前を変更してしまう方法もある。ファイルの所有者が「trustedinstaller」なので一度所有者を administrator に変更してから mshta.exe.org のような名前に変更する。







[ホーム] > [サイバー攻撃大辞典 トップ] > [hta による不正プログラムの実行]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2015 - 2020