　Exploit（エクスプロイト）とは、不正（ふせい）なスクリプトやプログラムを実行（じっこう）させる攻撃（こうげき）を指（さ）す言葉（ことば）。マルウェアのダウンローダの役割（やくわり）で用（もち）いるため、Exploit（エクスプロイト）自体（じたい）がマルウェアように自己（じこ）増殖（ぞうしょく）するのは稀（まれ）。

　GandCrab（ガンクラブ）乱波（らっぱ）が用いた手法（しゅほう）がExploit（エクスプロイト）の典型的（てんけいてき）な用例（ようれい）。ZIP（圧縮）ファイルにJavaScript（ジャバスクリプト）のダウンローダが入っていて、実行（じっこう）すると別のダウンローダがダウンロードされる。最終的（さいしゅうてき）に複数（ふくすう）のマルウェアがダウンロードされる仕組（しく）み。

　Gmail（ジーメール）は、二〇一七年二月一三日からセキュリティ上の理由（りゆう）によりJavaScript（ジャバスクリプト）ファイルを添付（てんぷ）出来ないようにしている。ZIP（圧縮）ファイルに含（ふく）まれている場合（ばあい）も同様（どうよう）。拡張子（かくちょうし）が.js（ジェーエス）であれば不可（ふか）という判定（はんてい）方法（ほうほう）。

　ウイルスや不正（ふせい）な動作（どうさ）を行う道具（ソフトウェア）から守るため、以下拡張子（かくちょうし）のファイル添付（てんぷ）を制限（せいげん）している。

.ade、.adp、.apk、.appx、.appxbundle、.bat、.cab、.chm、.cmd、.com、.cpl、.diagcab、.diagcfg、.diagpack、.dll、.dmg、.ex、.ex_、.exe、.hta、.img、.ins、.iso、.isp、.jar、.jnlp、.js、.jse、.lib、.lnk、.mde、.msc、.msi、.msix、.msixbundle、.msp、.mst、.nsh、.pif、.ps1、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vhd、.vxd、.wsc、.wsf、.wsh、.xll

　とはいえ、全住民（ぜんじゅうみん）にGmail（ジーメール）の利用（りよう）を促（うなが）すのは非現実的（ひげんじつてき）。そんなことをすれば、利権（りけん）があるのだろう等といった憶測（おくそく）が広まり、反発（はんぱつ）する人が現（あらわ）れるだろうし、そもそもGmail（ジーメール）を使わなければならない合理的（ごうりてき）な理由（りゆう）が無い。

　とはいえ、添付（てんぷ）ファイルを開く際には気を付けましょうと、アナウンスしたところで効果（こうか）は無い。そんなことで被害（ひがい）に遭（あ）わなくなるのならば、交通事故（こうつうじこ）や詐欺（さぎ）はとっくに無くなっている。

　ダウンローダを無力化（むりょくか）すれば、ある程度（ていど）の被害（ひがい）は未然（みぜん）に防（ふせ）ぐことが可能（かのう）。

　JavaScript（ジャバスクリプト）、Microsoft（マイクロソフト）屋Office（オフィス）製品のマクロ機能で使用されるVBA（コード）、Microsoft（マイクロソフト）屋Word（ワード）ファイルに組み込んだマクロを起点（きてん）とするPowerShell（コード）をダウンローダとして機能（きのう）させられなくすれば良いのだけれど、それをどう実現（じつげん）するか――。

　Microsoft（マイクロソフト）屋が、二〇二二年八月のWindows（ウィンドウズ）アップデートで、ダウンロードしたファイルをOffice（オフィス）製品で開いた場合（ばあい）、マクロ機能のVBA（コード）実行（じっこう）を既定（きてい）でブロックするように変更（へんこう）した。

　OS（オーエス）を最新状態（さいしんじょうたい）に更新（アップデート）することへの反発（はんぱつ）は無いだろうから、更新（アップデート）により対応（たいおう）することにする。

　これだけでは、JavaScript（ジャバスクリプト）ファイルを、意図（いと）せずダブルクリックする可能性（かのうせい）は否定（ひてい）出来ない。

　誤（あやま）って実行（じっこう）してしまうことが無いよう、.js、.jse、.vbs、.vbe、.wsfの五拡張子（かくちょうし）をメモ帳アプリに関連付（かんれんづ）け、テキストエディタで開くよう設定（せってい）する。実行（じっこう）しなければ、どのような命令（めいれい）が書かれていようとも、単なる文字列（もじれつ）でしかなく脅威（きょうい）ではない。

　Web（ウェブ）系技術者（エンジニア）は特（とく）に、何故（なぜ）JavaScript（ジャバスクリプト）が脅威（きょうい）になるのか、気になるかもしれない。

　Windows（ウィンドウズ）は、標準（ひょうじゅん）搭載（とうさい）されているWSH（Windows Script Host）で、VBScriptとJScriptを動かせるようになっている。JScriptは、Microsoft（マイクロソフト）屋専用（せんよう）の、バッチ処理（しょり）も行（おこな）えるJavaScript（ジャバスクリプト）。拡張子（かくちょうし）は、JavaScript（ジャバスクリプト）なので.js（ジェーエス）。