/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/4S7KVAAQ4FOZBNAZCTLLEGTAGM.jpg)
ハッキングに幅広く悪用されてきたマルウェア「ZLoader」による攻撃に、マイクロソフトが13年に修正したはずのWindowsの欠陥が悪用されている問題が明らかになった。ところが、この問題に対処する修正プログラムの適用がオプションだったこともあり、いまも修正されていないコンピューターがハッカー集団の攻撃対象になり続けている。
TEXT BY LILY HAY NEWMAN
WIRED(US)
広く悪用されるマルウェア「ZLoader」は、ありとあらゆるハッキング事件に顔を出す。銀行口座のパスワードのような機密データを狙うハッキングから、ランサムウェア攻撃まで多種多様だ。
2021年11月から始まったZLoaderによる攻撃では、マイクロソフトが13年に修正したはずの「Windows」の欠陥が悪用されている。この攻撃では111カ国でおよそ2,200ユーザーが感染し、被害に遭った。
ハッカーたちは以前から、さまざまな手口を使ってマルウェア検出ツールをすり抜け、Zloaderを被害者のコンピューターに忍び込ませてきた。セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズの研究者によると、今回の事例で攻撃者は、ファイルが正当で信頼できることを保証するための整合性チェックであるマイクロソフトの署名検証の欠陥を悪用している。
DLLファイルを改変
まず攻撃者は被害者をだまし、「Atera」という正規のリモートIT管理ツールをインストールさせ、デバイスにアクセスしてコントロールできるようにする。この部分は特に珍しくも目新しくもない。次にハッカーは、「Windows Defender」などのマルウェアスキャナーに検出されたりブロックされたりすることなく、ZLoaderをインストールする必要がある。
この段階で、10年ほど前から存在する欠陥が役に立った。攻撃者は正規のダイナミックリンクライブラリ(DLL)ファイル(コードを読み込むために複数のソフトウェア間で共有される共用ファイル)を改変し、マルウェアを仕込むことができたのである。
標的となるDLLファイルにはマイクロソフトのデジタル署名があり、その信頼性が証明されている。ところが、攻撃者はマイクロソフトの署名に影響を及ぼすことなく、このファイルに悪意あるスクリプトをこっそり付け足すことに成功した。
「署名付きのDLLのようなファイルを見れば、信頼できるはずとほぼ確信します。しかし、必ずしもそうではないことが今回の件からわかります」と、チェック・ポイントのマルウェア研究者のコビ・アイゼンクラフトは言う。「この攻撃方法は今後、増えていくと思います」
使われていない修正プログラム
マイクロソフトは自社のコード署名プロセスを 「Microsoft Authenticode」と名付けている。同社はAuthenticodeの署名検証を厳格にする修正プログラムを13年にリリースし、この方法でわずかに操作されたファイルにフラグを立てるようにした。当初、この修正パッチはすべてのWindowsユーザーに必須にする予定だったが、マイクロソフトは14年7月に計画を修正し、アップデートをオプションにしている。
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/NFUCQ26KBBKWLFQMIFP2Q2XPCA.jpg)
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/CY4TZDV3KFNLTBIKKHF7V5CTT4.jpg)
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/V7KKNP3UV5OF7BB3MILOF4C2F4.jpg)
:quality(50)/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/ECSIJUWKOZNKZLCCZGTOH76UGI.jpg)