MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
サイバー攻撃者がプロセッサの脆弱(ぜいじゃく)性である「Meltdown」と「Spectre」を悪用する初の試みは、この欠陥を修正するセキュリティ更新プログラムに見せかけることだった。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
セキュリティ企業Malwarebytesの研究員は、あるドイツ語のWebサイトを発見した。このサイトは政府の支援を受けているように見せかけ、MeltdownとSpectreのヘルプを提供している。だが、これにはマルウェアへのリンクが含まれている。
「このサイトはドイツ連邦情報セキュリティ局が公開しているかのように装っている。だが、このSSL対応のフィッシングサイトは、正規の政府機関とは無関係だ」とブログに投稿したのはMalwarebytesでマルウェア情報の主任アナリストを務めるジェローム・セグラ氏だ。
この偽装サイト「sicherheit-informationstechnik.bid」には、ZIPファイルへのリンクが含まれている。サイトの説明によると、最近発見され、最新のコンピュータに影響を与える脆弱性に対するパッチがこのアーカイブに含まれているという。だが、このセキュリティ更新プログラム(Intel-AMD-SecurityPatch-10-1-v1.exe)は偽物で、実際には「Smoke Loader」という追加のペイロードを取得するマルウェアだ。
「このマルウェアに感染するとさまざまなドメインに接続を試み、暗号化した情報を送信する悪意のあるファイルを表示する」とセグラ氏はブログに記載している。
「悪用されたSSL証明書内の『Subject Alternative Name』(サブジェクトの別名)フィールドには、他にも.bidドメインに関連付けられたプロパティが表示される。こうしたプロパティには、Adobe Flash Playerの偽の更新プログラム用のドイツ語テンプレートなどがある」(セグラ氏)
セグラ氏によると、この偽のヘルプWebサイトについて、MalwarebytesからComodo GroupとCloudflareに通知したところ、数分でオフラインになったという。
「オンライン犯罪は、一般に知られた事象を迅速に悪用することが知られている。こうしたオンライン犯罪では通常フィッシングキャンペーンが利用される。だが、今回の件は興味深い。今回はパッチを適用するよう求められる。実はそのパッチ自体が犯罪者によって偽装されているのだ」と同氏は話す。
セグラ氏は、サプライヤーから行動を起こすよう促された場合でも、行動を起こさないよう企業に警告している。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月21日号 Spectre&Meltdownの見つけ方
Computer Weekly日本語版 2月7日号 キャッシュレス先進国の現実
Computer Weekly日本語版 1月24日号 “侵入者をだますセキュリティ”のススメ
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
TikTokのトレンドに変化 なぜ「1分超え」動画が見られている?
Bufferのデータによると、TikTokでは最近、長めの動画が人気を集めている。
アドビが「10種類のAIエージェント」を発表 顧客体験はどう変わる?
アドビの年次イベント「Adobe Summit 2025」が開催された。初日の基調講演では、アドビの...
「ブランドは叩かれて強くなる」 ジャガーのCMOが語った炎上の乗り越え方
SXSWで開催された「Female Quotient」のイベントにおいて、Jaguar Land Roverの米国CMOは...
ITmediaはアイティメディア株式会社の登録商標です。
