2018年03月08日 08時00分 公開
特集/連載

初の悪用事例Meltdown&Spectre用の「偽の修正パッチ」に注意

MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 サイバー攻撃者がプロセッサの脆弱(ぜいじゃく)性である「Meltdown」と「Spectre」を悪用する初の試みは、この欠陥を修正するセキュリティ更新プログラムに見せかけることだった。

Computer Weekly日本語版 3月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 セキュリティ企業Malwarebytesの研究員は、あるドイツ語のWebサイトを発見した。このサイトは政府の支援を受けているように見せかけ、MeltdownとSpectreのヘルプを提供している。だが、これにはマルウェアへのリンクが含まれている。

 「このサイトはドイツ連邦情報セキュリティ局が公開しているかのように装っている。だが、このSSL対応のフィッシングサイトは、正規の政府機関とは無関係だ」とブログに投稿したのはMalwarebytesでマルウェア情報の主任アナリストを務めるジェローム・セグラ氏だ。

 この偽装サイト「sicherheit-informationstechnik.bid」には、ZIPファイルへのリンクが含まれている。サイトの説明によると、最近発見され、最新のコンピュータに影響を与える脆弱性に対するパッチがこのアーカイブに含まれているという。だが、このセキュリティ更新プログラム(Intel-AMD-SecurityPatch-10-1-v1.exe)は偽物で、実際には「Smoke Loader」という追加のペイロードを取得するマルウェアだ。

 「このマルウェアに感染するとさまざまなドメインに接続を試み、暗号化した情報を送信する悪意のあるファイルを表示する」とセグラ氏はブログに記載している。

 「悪用されたSSL証明書内の『Subject Alternative Name』(サブジェクトの別名)フィールドには、他にも.bidドメインに関連付けられたプロパティが表示される。こうしたプロパティには、Adobe Flash Playerの偽の更新プログラム用のドイツ語テンプレートなどがある」(セグラ氏)

 セグラ氏によると、この偽のヘルプWebサイトについて、MalwarebytesからComodo GroupとCloudflareに通知したところ、数分でオフラインになったという。

 「オンライン犯罪は、一般に知られた事象を迅速に悪用することが知られている。こうしたオンライン犯罪では通常フィッシングキャンペーンが利用される。だが、今回の件は興味深い。今回はパッチを適用するよう求められる。実はそのパッチ自体が犯罪者によって偽装されているのだ」と同氏は話す。

 セグラ氏は、サプライヤーから行動を起こすよう促された場合でも、行動を起こさないよう企業に警告している。

ITmedia マーケティング新着記事

news074.jpg

上司が部下の勤労に感謝すると仕事のパフォーマンスが上がる件――Unipos調査
上司からのフィードバックに対する満足度が、仕事のパフォーマンスに影響することが分か...

news047.jpg

デジタルエージェンシーが真のパートナーになるために必要なビジネスモデル変革
デジタルエージェンシーがクライアントの成果に十分にコミットできていない原因の一つと...

news146.jpg

電通、マーケティングプラットフォーム「STADIA」にラジオ広告も統合
電通は統合マーケティング プラットフォーム「STADIA」の機能を拡張し、ラジオ広告を統合...