[サイバー攻撃大辞典 トップへ]

iqy ファイルによる不正ファイルのダウンロード


スポンサー リンク

説明


iqy (Internet QuerY File) とは Excel が使用するファイル。ファイル内にURL(uniform resource locator) などを記載する。このファイルを Excel で開くとファイルの中に記載されていた URL からファイルをダウンロードし Excel 内に貼り付ける。
便利な機能ではあるが、攻撃者がユーザに不正ツールをダウンロードさせるのにも使えてしまう。

攻撃例


メールにこの iqy が添付されユーザがクリックしてしまうと Excel 経由で不正ツールがダウンロードされてしまう。


対策


(1)メール受信時の注意の徹底
メールにこのファイルが添付されていても絶対にクリックしない。すぐにメールごと削除する。通常はこの拡張子のファイルをメールで送信するようなことはない。

(2)関連付けの削除

以下のとおりデフォルトで iqy ファイルはEXCEL.EXEに関連付けされています。
この関連付けをEXCELからテキストエディタに変更することにより、添付ファイルで誤ってクリックしてもEXCELが起動できないように変更します。
(assoc コマンドにより コンピューター\HKEY_CLASSES_ROOT のキーが変更されます。)


C:\>assoc .iqy
.iqy=iqyfile

C:\>ftype iqyfile
iqyfile=C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE "%1"



以下では iqy ファイルの関連付けを秀丸エディタに変更しています。

C:\>assoc .iqy=hidemaru.txt
.iqy=hidemaru.txt



以下では iqyファイルの関連付けを dummy として設定し、iqy がクリックされても何もアプリを起動しない設定に変更しています。

C:\>assoc .iqy=dummy
.iqy=dummy

C:\>assoc .iqy
.iqy=dummy


この場合、iqy をクリックすると以下の画面が表示されます。ここでEXCELを選択しないような教育が必要です。

iqyを開くアプリケーションの選択




[参考]
エクスプローラの「プログラムから開く」で関連付けしてしまった場合は以下のキーを削除することによりクリアする。

コンピューター\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.iqy



スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917