現代のサイバーセキュリティにおいて、ファイル名の形式すら攻撃の一手段となっています。
その代表例が「二重拡張子(double extension)」です。
**「readme.txt.exe」や「invoice.pdf.exe」**のように、一見無害なファイルに見せかけて実行ファイルであることを隠すこの手法は、マルウェアの感染トリックとして多用されています。
この記事では、二重拡張子の定義・用途・危険性・IT現場での防御策まで、網羅的に解説します。
<h1>二重拡張子とは何か?</h1>
<h2>拡張子の基本</h2>
コンピュータにおける拡張子(extension)とは、ファイル名の末尾に付けられるドット(.)+数文字の文字列で、ファイルの形式や種類を識別するものです。
例えば:
-
document.txt→ テキストファイル -
image.jpg→ 画像ファイル -
program.exe→ 実行ファイル
オペレーティングシステム(特にWindows)は、この拡張子によってファイルをどのアプリで開くか、あるいは実行するかを判断します。
<h2>二重拡張子の定義</h2>
二重拡張子(double extension)とは、1つのファイル名に拡張子が2つ連続で含まれている状態を指します。
例:
-
readme.txt.exe -
invoice.pdf.exe -
archive.tar.gz
この形式は2通りの目的で使われます:
-
正当な利用: 複数形式で処理されたファイル(例:アーカイブ+圧縮)
-
悪意ある利用: マルウェアが偽装してユーザーを騙すため
<h1>正当な二重拡張子の例</h1>
<h2>アーカイブと圧縮ファイル</h2>
LinuxやUNIX系OSでは、複数のファイルをまとめる際に .tar、それをさらに圧縮する際に .gz 拡張子が付けられ、結果として以下のような二重拡張子になります:
-
backup.tar.gz
→.tarでアーカイブ、.gzでgzip圧縮
<h2>マルチメディアやドキュメント変換時</h2>
別形式へ変換されたドキュメントでも、元の形式を保つために二重拡張子が使われる場合があります。
-
slides.pptx.pdf
→ PowerPointファイルをPDFに変換した際、元形式を保持する目的で利用されることもあります。
<h1>マルウェアにおける二重拡張子の悪用</h1>
<h2>Windows環境におけるリスク</h2>
Windowsでは、既定で拡張子が非表示設定になっている場合があり、これを利用して悪意あるファイルは無害なファイルに見せかける偽装を行います。
例:
-
ファイル名:
請求書.pdf .exe
→ 表示上は「請求書.pdf」だけに見えるが、実際は.exe拡張子の実行ファイル
ユーザーがPDFだと誤解して開いてしまうと、実はマルウェアが起動してウイルス感染・情報漏洩・ランサムウェア被害などにつながるリスクがあります。
<h2>この手法が用いられる主な場面</h2>
-
メール添付ファイルによるフィッシング攻撃
-
USBメモリや外部メディアを介した感染
-
SNS・メッセージアプリ経由でのファイル共有
<h1>二重拡張子対策:IT管理者とユーザーの両面から</h1>
<h2>1. エンドユーザー対策</h2>
-
拡張子を常に表示する設定に変更(Windows)
-
信頼できない送信元のファイルは開かない
-
不審な拡張子を含むファイルはウイルススキャン
<h2>2. IT管理者側の対策</h2>
-
メールサーバーで
.exe,.scr,.batなどの添付ファイルを自動ブロック -
グループポリシーによるファイル実行制限
-
EDR(Endpoint Detection and Response)やアンチウイルス製品の導入
-
SIEMによる不審なファイルアクセスの検出
まとめ
**二重拡張子(double extension)**は、ファイルの構造としては無害な場合もありますが、サイバー攻撃に悪用されるリスクの高い技術です。
-
.tar.gzのように正当な処理で用いられることもある -
一方で、
invoice.pdf.exeのように偽装されたマルウェアは非常に危険 -
拡張子の表示設定やメールのフィルタリング、ユーザー教育が重要
ITセキュリティにおいては、見た目に惑わされず、ファイルの本質を見極める視点が求められます。
企業・個人問わず、日頃からの注意と対策を怠らないようにしましょう。