Meltdown&Spectre用の「偽の修正パッチ」に注意初の悪用事例

MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。

2018年03月08日 08時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 サイバー攻撃者がプロセッサの脆弱(ぜいじゃく)性である「Meltdown」と「Spectre」を悪用する初の試みは、この欠陥を修正するセキュリティ更新プログラムに見せかけることだった。

Computer Weekly日本語版 3月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 セキュリティ企業Malwarebytesの研究員は、あるドイツ語のWebサイトを発見した。このサイトは政府の支援を受けているように見せかけ、MeltdownとSpectreのヘルプを提供している。だが、これにはマルウェアへのリンクが含まれている。

 「このサイトはドイツ連邦情報セキュリティ局が公開しているかのように装っている。だが、このSSL対応のフィッシングサイトは、正規の政府機関とは無関係だ」とブログに投稿したのはMalwarebytesでマルウェア情報の主任アナリストを務めるジェローム・セグラ氏だ。

 この偽装サイト「sicherheit-informationstechnik.bid」には、ZIPファイルへのリンクが含まれている。サイトの説明によると、最近発見され、最新のコンピュータに影響を与える脆弱性に対するパッチがこのアーカイブに含まれているという。だが、このセキュリティ更新プログラム(Intel-AMD-SecurityPatch-10-1-v1.exe)は偽物で、実際には「Smoke Loader」という追加のペイロードを取得するマルウェアだ。

 「このマルウェアに感染するとさまざまなドメインに接続を試み、暗号化した情報を送信する悪意のあるファイルを表示する」とセグラ氏はブログに記載している。

 「悪用されたSSL証明書内の『Subject Alternative Name』(サブジェクトの別名)フィールドには、他にも.bidドメインに関連付けられたプロパティが表示される。こうしたプロパティには、Adobe Flash Playerの偽の更新プログラム用のドイツ語テンプレートなどがある」(セグラ氏)

 セグラ氏によると、この偽のヘルプWebサイトについて、MalwarebytesからComodo GroupとCloudflareに通知したところ、数分でオフラインになったという。

 「オンライン犯罪は、一般に知られた事象を迅速に悪用することが知られている。こうしたオンライン犯罪では通常フィッシングキャンペーンが利用される。だが、今回の件は興味深い。今回はパッチを適用するよう求められる。実はそのパッチ自体が犯罪者によって偽装されているのだ」と同氏は話す。

 セグラ氏は、サプライヤーから行動を起こすよう促された場合でも、行動を起こさないよう企業に警告している。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...