Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意

このキャンペーンでは添付ファイル付きの偽のメールを使用しており、同様の攻撃を防止するため、メールセキュリティのベストプラクティスを実践することが推奨されている。

また、Trustwaveはsearch:アプリケーションプロトコルを無効にして、攻撃を回避する緩和策を提示している。次のコマンドを実行することで、プロトコルを無効にすることができる。しかしながら、これは他のアプリケーションの動作に影響が出る可能性があるため推奨されていない。

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

なお、今回使用されたsearch:アプリケーションプロトコルはMozilla Firefoxなどの一部のWebブラウザでは機能しない。既定のブラウザをこのような製品に切り替えることで攻撃を回避可能。
（後藤大地）