広く悪用されるマルウェア「ZLoader」は、ありとあらゆるハッキング事件に顔を出す。銀行口座のパスワードのような機密データを狙うハッキングから、ランサムウェア攻撃まで多種多様だ。
2021年11月から始まったZLoaderによる攻撃では、マイクロソフトが13年に修正したはずの「Windows」の欠陥が悪用されている。この攻撃では111カ国でおよそ2,200ユーザーが感染し、被害に遭った。
ハッカーたちは以前から、さまざまな手口を使ってマルウェア検出ツールをすり抜け、Zloaderを被害者のコンピューターに忍び込ませてきた。セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズの研究者によると、今回の事例で攻撃者は、ファイルが正当で信頼できることを保証するための整合性チェックであるマイクロソフトの署名検証の欠陥を悪用している。
■DLLファイルを改変
まず攻撃者は被害者をだまし、「Atera」という正規のリモートIT管理ツールをインストールさせ、デヴァイスにアクセスしてコントロールできるようにする。この部分は特に珍しくも目新しくもない。次にハッカーは、「Windows Defender」などのマルウェアスキャナーに検出されたりブロックされたりすることなく、ZLoaderをインストールする必要がある。
この段階で、10年ほど前から存在する欠陥が役に立った。攻撃者は正規のダイナミックリンクライブラリ(DLL)ファイル(コードを読み込むために複数のソフトウェア間で共有される共用ファイル)を改変し、マルウェアを仕込むことができたのである。
標的となるDLLファイルにはマイクロソフトのデジタル署名があり、その信頼性が証明されている。ところが、攻撃者はマイクロソフトの署名に影響を及ぼすことなく、このファイルに悪意あるスクリプトをこっそり付け足すことに成功した。
「署名付きのDLLのようなファイルを見れば、信頼できるはずとほぼ確信します。しかし、必ずしもそうではないことが今回の件からわかります」と、チェック・ポイントのマルウェア研究者のコビ・アイゼンクラフトは言う。「この攻撃方法は今後、増えていくと思います」
(中略)
だが、修正プログラムは存在しているし、13年からずっとそこにあった。それでもWindowsデヴァイスの多くは、修正プログラムを有効にしていない可能性が高い。ユーザーとシステム管理者がまずこの修正パッチについて知り、それから設定することを選択する必要があるからだ。マイクロソフトは13年、この脆弱性はハッカーによって「標的型攻撃」で盛んに悪用されていると指摘している。
「修正パッチがあっても、誰も使っていません」と、チェック・ポイントのアイゼンクラフトは言う。「このため多くのマルウェアが、この方法で企業や個人のコンピューターに侵入できてしまうでしょう」
■今回は身を守ることが難しい?
最近のZLoader攻撃は、主に米国やカナダ、インドの被害者が標的になっている。このほかにも最近のZLoader攻撃では、数々の犯罪者が悪意ある文書や汚染したウェブサイト、悪意ある広告を使ってマルウェアを配布している。
チェック・ポイントの研究者は最近の攻撃について、活発な活動を繰り広げる「MalSmoke」という犯罪ハッカー集団によるものとみている。というのも、この集団は過去にも同様の手口を使用しており、今回の攻撃と過去のMalSmokeによるハッキングの間にはインフラ面で関連性があることを研究者が発見したからだ。
MalSmokeは特にマルヴァタイジング(ワンクリックでマルウェアに感染する広告)に的を絞ることが多く、とりわけポルノなどのアダルトコンテンツを配信するサイトやサーヴィスの広告をハイジャックしてきた。この集団は、過去の攻撃ではZLoaderのほかにも「Smoke Loader」という人気の高い悪意あるダウンローダーをはじめとするマルウェアも使用してきている。
ソフトウェアの脆弱性が何年も残る状況は、前例がないことではない。だが、そうした欠陥が長らく生き残ってきたことを考えれば、発見されたときは通常は多くのデヴァイスの中に潜んでいる。また、特定の脆弱性に対する修正プログラムが提供されている場合でも、一部の機器、特にIoT(モノのインターネット)デヴァイスにはパッチが適用されていないことも珍しくない。
こうした状況も踏まえると、今回の攻撃は身を守ることが難しくなりそうだ。脆弱性の修正プログラムがあまりにも知られておらず、適用する必要があることすら知らない人がほとんどなのである。
1/8(土) 12:21配信
https://news.yahoo.co.jp/articles/6472d466481ceb8c8061820041059749e7e301cc
https://newsatcl-pctr.c.yimg.jp/r/iwiz-amd/20220108-00010000-wired-000-1-view.jpg
2021年11月から始まったZLoaderによる攻撃では、マイクロソフトが13年に修正したはずの「Windows」の欠陥が悪用されている。この攻撃では111カ国でおよそ2,200ユーザーが感染し、被害に遭った。
ハッカーたちは以前から、さまざまな手口を使ってマルウェア検出ツールをすり抜け、Zloaderを被害者のコンピューターに忍び込ませてきた。セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズの研究者によると、今回の事例で攻撃者は、ファイルが正当で信頼できることを保証するための整合性チェックであるマイクロソフトの署名検証の欠陥を悪用している。
■DLLファイルを改変
まず攻撃者は被害者をだまし、「Atera」という正規のリモートIT管理ツールをインストールさせ、デヴァイスにアクセスしてコントロールできるようにする。この部分は特に珍しくも目新しくもない。次にハッカーは、「Windows Defender」などのマルウェアスキャナーに検出されたりブロックされたりすることなく、ZLoaderをインストールする必要がある。
この段階で、10年ほど前から存在する欠陥が役に立った。攻撃者は正規のダイナミックリンクライブラリ(DLL)ファイル(コードを読み込むために複数のソフトウェア間で共有される共用ファイル)を改変し、マルウェアを仕込むことができたのである。
標的となるDLLファイルにはマイクロソフトのデジタル署名があり、その信頼性が証明されている。ところが、攻撃者はマイクロソフトの署名に影響を及ぼすことなく、このファイルに悪意あるスクリプトをこっそり付け足すことに成功した。
「署名付きのDLLのようなファイルを見れば、信頼できるはずとほぼ確信します。しかし、必ずしもそうではないことが今回の件からわかります」と、チェック・ポイントのマルウェア研究者のコビ・アイゼンクラフトは言う。「この攻撃方法は今後、増えていくと思います」
(中略)
だが、修正プログラムは存在しているし、13年からずっとそこにあった。それでもWindowsデヴァイスの多くは、修正プログラムを有効にしていない可能性が高い。ユーザーとシステム管理者がまずこの修正パッチについて知り、それから設定することを選択する必要があるからだ。マイクロソフトは13年、この脆弱性はハッカーによって「標的型攻撃」で盛んに悪用されていると指摘している。
「修正パッチがあっても、誰も使っていません」と、チェック・ポイントのアイゼンクラフトは言う。「このため多くのマルウェアが、この方法で企業や個人のコンピューターに侵入できてしまうでしょう」
■今回は身を守ることが難しい?
最近のZLoader攻撃は、主に米国やカナダ、インドの被害者が標的になっている。このほかにも最近のZLoader攻撃では、数々の犯罪者が悪意ある文書や汚染したウェブサイト、悪意ある広告を使ってマルウェアを配布している。
チェック・ポイントの研究者は最近の攻撃について、活発な活動を繰り広げる「MalSmoke」という犯罪ハッカー集団によるものとみている。というのも、この集団は過去にも同様の手口を使用しており、今回の攻撃と過去のMalSmokeによるハッキングの間にはインフラ面で関連性があることを研究者が発見したからだ。
MalSmokeは特にマルヴァタイジング(ワンクリックでマルウェアに感染する広告)に的を絞ることが多く、とりわけポルノなどのアダルトコンテンツを配信するサイトやサーヴィスの広告をハイジャックしてきた。この集団は、過去の攻撃ではZLoaderのほかにも「Smoke Loader」という人気の高い悪意あるダウンローダーをはじめとするマルウェアも使用してきている。
ソフトウェアの脆弱性が何年も残る状況は、前例がないことではない。だが、そうした欠陥が長らく生き残ってきたことを考えれば、発見されたときは通常は多くのデヴァイスの中に潜んでいる。また、特定の脆弱性に対する修正プログラムが提供されている場合でも、一部の機器、特にIoT(モノのインターネット)デヴァイスにはパッチが適用されていないことも珍しくない。
こうした状況も踏まえると、今回の攻撃は身を守ることが難しくなりそうだ。脆弱性の修正プログラムがあまりにも知られておらず、適用する必要があることすら知らない人がほとんどなのである。
1/8(土) 12:21配信
https://news.yahoo.co.jp/articles/6472d466481ceb8c8061820041059749e7e301cc
https://newsatcl-pctr.c.yimg.jp/r/iwiz-amd/20220108-00010000-wired-000-1-view.jpg