- ショートカットファイル(lnk)を例外登録した場合のリスクと例外登録パスについて
もしショートカットファイル(lnk)に不正なコマンドラインがリンクされており、不正なファイル自体が存在しない=ファイルレスマルウェアの場合、こちらについてはスキャンされない場合があり、一般的に悪用されるのはこちらとなります。
参考FAQ:ファイルレスマルウェア攻撃に対するyaraiの対策について
ショートカットファイル(lnk)によるファイルレスマルウェア攻撃は、侵入段階で利用されることが多いことから、一般的には、侵入後にマルウェア本体がダウンロードされるケースが多くなります。実行形式のマルウェア本体がダウンロード・実行された場合は、yaraiでスキャンされます。
そのため、例外登録にて大幅にリスクが増大する可能性は低いと想定していますが、可能な限り、例外に登録するフォルダパスは限定して登録いただくことを推奨します。
なお、ショートカットファイル(lnk)スキャン時のパフォーマンスへの影響については、今後のバージョンで改善できるよう検討しています。
