Meltdown&Spectre用の「偽の修正パッチ」に注意初の悪用事例

MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。

2018年03月08日 08時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 サイバー攻撃者がプロセッサの脆弱(ぜいじゃく)性である「Meltdown」と「Spectre」を悪用する初の試みは、この欠陥を修正するセキュリティ更新プログラムに見せかけることだった。

Computer Weekly日本語版 3月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 セキュリティ企業Malwarebytesの研究員は、あるドイツ語のWebサイトを発見した。このサイトは政府の支援を受けているように見せかけ、MeltdownとSpectreのヘルプを提供している。だが、これにはマルウェアへのリンクが含まれている。

 「このサイトはドイツ連邦情報セキュリティ局が公開しているかのように装っている。だが、このSSL対応のフィッシングサイトは、正規の政府機関とは無関係だ」とブログに投稿したのはMalwarebytesでマルウェア情報の主任アナリストを務めるジェローム・セグラ氏だ。

 この偽装サイト「sicherheit-informationstechnik.bid」には、ZIPファイルへのリンクが含まれている。サイトの説明によると、最近発見され、最新のコンピュータに影響を与える脆弱性に対するパッチがこのアーカイブに含まれているという。だが、このセキュリティ更新プログラム(Intel-AMD-SecurityPatch-10-1-v1.exe)は偽物で、実際には「Smoke Loader」という追加のペイロードを取得するマルウェアだ。

 「このマルウェアに感染するとさまざまなドメインに接続を試み、暗号化した情報を送信する悪意のあるファイルを表示する」とセグラ氏はブログに記載している。

 「悪用されたSSL証明書内の『Subject Alternative Name』(サブジェクトの別名)フィールドには、他にも.bidドメインに関連付けられたプロパティが表示される。こうしたプロパティには、Adobe Flash Playerの偽の更新プログラム用のドイツ語テンプレートなどがある」(セグラ氏)

 セグラ氏によると、この偽のヘルプWebサイトについて、MalwarebytesからComodo GroupとCloudflareに通知したところ、数分でオフラインになったという。

 「オンライン犯罪は、一般に知られた事象を迅速に悪用することが知られている。こうしたオンライン犯罪では通常フィッシングキャンペーンが利用される。だが、今回の件は興味深い。今回はパッチを適用するよう求められる。実はそのパッチ自体が犯罪者によって偽装されているのだ」と同氏は話す。

 セグラ氏は、サプライヤーから行動を起こすよう促された場合でも、行動を起こさないよう企業に警告している。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news168.jpg

新富裕層の攻略法 「インカムリッチ」の財布のひもを緩めるマーケティングとは?
パワーカップルの出現などでこれまでとは異なる富裕層が生まれつつあります。今回の無料e...

news166.jpg

ブラックフライデーのオンラインショッピング 日本で売り上げが大幅に増加した製品カテゴリーは?
Criteoは、日本国内のブラックフライデーのオンラインショッピングに関する分析結果を発...

news191.jpg

Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...