RenderShock という 0-Click 脆弱性:Explorer/Quick Look 自動処理の悪用を生み出す

RenderShock 0-Click Vulnerability Executes Payloads via Background Process Without User Interaction

2025/07/14 CyberSecurityNews — RenderShock と呼ばれる高度なゼロクリック攻撃手法は、最新のオペレーティング・システムにおける受動的なファイル・プレビュー機能およびインデックス作成機能の動作を悪用し、ユーザーの操作を必要とすることなく、悪意のペイロードを実行するものだ。従来のフィッシング攻撃は、ユーザーを騙すことで、悪意のリンクのクリックや、感染した添付ファイルのオープンに依存してきた。その一方で RenderShock は、システムに組み込まれた自動化機能を悪用することで、正当なバックグラウンド・プロセスを経由して侵害を達成するという。

主なポイント
  1. RenderShock 攻撃は、ユーザー操作を必要とせずに、ファイル・プレビュー機構を悪用する。
  2. Windows Explorer および、macOS Quick Look、自動ファイル・インデックス作成サービスに影響を及ぼす。
  3. 悪意の LNK ファイルや PDF/Office ドキュメントを介して、NTLM 資格情報の窃取およびコード実行を引き起こす。
  4. 認証情報の収集とリモート・アクセスを防止するためには、プレビュー・パネルの無効化および SMB トラフィックの遮断が必要である。
RenderShock のゼロクリック脆弱性

RenderShock は、ユーザーの明示的操作を必要としない、複数の受動的な実行サーフェスを標的としていると、CYFIRMA は指摘している。この脆弱性が影響を及ぼす範囲には、Windows Explorer のプレビューパネル/macOS の Quick Look/メール・クライアントのプレビュー機構/Windows Search Indexer/Spotlight などのファイル・インデックス・サービスが含まれる。

RenderShock Passive Execution Flow

これらのシステムは、メモリ上でファイルを処理し、登録済みのプレビュー・ハンドラを呼び出すが、その際に悪意のコード実行を引き起こす可能性がある。

この攻撃のチェーンは、ドキュメントのメタデータに悪意のロジックを埋め込み、UNC パスを利用して NTLM 認証情報を取得し、プレビューのレンダリング中に Office マクロを実行することで、プレビュー・サブシステムを悪用するというものだ。

たとえば、外部参照を取り込むように細工された PDF ファイルが、プレビュー・ハンドラにより処理されると、送信方向の SMB 接続がトリガーされ、攻撃者が管理するサーバに NTLMv2 ハッシュが漏洩していくという可能性が考えられる。

RenderShock が採用するのは、基本的なペイロード技術と、高度なペイロード技術の双方である。基本的なペイロードには、Windows Explorer がフォルダを参照する際に NTLM 認証を発生させる、UNC アイコンパスを取り込んだ悪意の LNK ファイルと、リモート・リソースを取得するための、INCLUDEPICTURE フィールド・インジェクションを取り込んだ RTF ファイルがある。

高度なペイロード技術には、複数のパーサを混乱させるための多言語ファイル形式や、マクロの存在しない Office ドキュメントに対するリモート・テンプレート・インジェクション、画像に埋め込まれた改竄 ICC カラー・プロファイルなどがある。

典型的な攻撃チェーンは、リモート・アイコンパス “\attacker-ip\icon.ico” を指定する、悪意の “.lnk” ファイルを ZIP アーカイブに埋め込み、それをヘルプデスク・ポータルや共有ディレクトリを通じて配布するところから始まる。

続いて、騙されたユーザーが、その悪意の ZIP ファイルの内容をプレビューすると、Windows が自動的にリモート・アイコンの読み込みを試み、SMB 認証リクエストを発生させる。そして、このリクエストが、Responder などのツールにより傍受される。

緩和策

この脆弱性を悪用する攻撃者が達成する攻撃ベクターには、パッシブ・ビーコンによる偵察/NTLMv2 ハーベスティングによる資格情報の窃取/プレビュー・ベースのマクロ実行によるリモートコード実行などがある。

さらに、悪意の “.desktop” ファイルや “LaunchAgent” を、信頼済み自動起動ディレクトリに配置する攻撃者は、それにより永続化を実現し、収集した資格情報を用いてラテラル・ムーブメントへといたる。

セキュリティ・チームにとって必要なことは、Windows Explorer と macOS Quick Look のプレビュー・パネルの無効化/信頼されないネットワーク宛の SMB トラフィック (TCP 445) の遮断/グループ・ポリシーによるマクロ・ブロック適用などの、包括的な防御策を講じることだ。

さらに、explorer.exe/searchindexer.exe/quicklookd などの、プレビューに関連するプロセスの異常なネットワーク通信を検出するための、動作監視も導入する必要がある。

この RenderShock フレームワークが示すのは、利便性を優先する現代のコンピューティング環境が、ユーザー操作を必要としないサイレント実行パスを生み出しているという現実である。それが促すのは、ファイル・ベース攻撃に対する、従来からのセキュリティ対策の根本的な再考である。また、システムにおける、受動的ファイル処理の方式についても、再評価が必要となるだろう。

ユーザーによる操作を必要とせずに攻撃を成立させる、RenderShock という新しい手法が説明されています。プレビュー機能や検索インデックスといった、便利な仕組みが攻撃に悪用され、ファイルを表示するだけで被害が起きると、この記事は指摘しています。プレビュー・パネルの無効化や、SMB 通信の制限などが、緩和策として推奨されています。よろしければ、0-Click で検索も、ご参照ください。