Zoomを悪用したマルウェア感染を回避する方法：極めて簡単な自衛策

Web会議の利用増に伴い、Zoomを悪用したマルウェアが登場した。感染すると厄介だが、感染を防ぐ方法は非常に簡単だ。

≫ 2020年06月05日 08時00分公開

[Alex Scroxton，Computer Weekly]

　新型コロナウイルス感染症（COVID-19）のパンデミックの中、Zoom Video Communications（以下Zoom社）のビデオ会議およびコラボレーションアプリケーション「Zoom」の利用増加に付け込み、サイバー犯罪者がユーザーを欺いて「クリプトマイナー」（仮想通貨採掘マルウェア）をダウンロードさせている。そう語るのは、トレンドマイクロで脅威研究者を務めるラファエル・センテノ氏とレイラム・ビクトリア氏だ。

　クリプトマイナーはマルウェアの中でも特に危険なもので、PCのコンピューティングリソースを乗っ取って悪用する。その狙いは「ビットコイン」や「モネロ」などの仮想通貨を採掘し、サイバー犯罪者のウォレットに転送することだ。

　ランサムウェアなど他系統のマルウェアと同じような損害を被るとは限らない。だが、多くの被害者はある現象に気付くだろう。この現象が起きると、アクティビティーが増加し、その結果としてシステムの速度低下、遅延、過熱、クラッシュが発生する。

　センテノ氏とビクトリア氏は、本件を発表したブログで次のように述べている。「在宅勤務への移行が急きょ必要になったため、セキュリティ対策を強化する時間がほとんどなかった。これによって企業も侵害を受ける恐れがある。攻撃者がビデオ会議アプリケーションなどのツールを悪用してマルウェアの感染を拡大しているためだ」

　こうした特定の詐欺に巻き込まれるのは、詐欺WebサイトでZoomをダウンロードしてしまったユーザーだ。Zoom社のWebサイトでダウンロードすれば何も問題はない。

　詐欺Webサイトでダウンロードすると、正規のZoomインストーラーに「Win.32.MOOZ.THCCABO」というトロイの木馬とヘルパープログラムが組み込まれる。このトロイの木馬がクリプトマイナー「CoinMiner.Win64.MOOZ.THCCABO」をダウンロードし、ヘルパープログラムがセキュリティツールや監視ツールをチェックして検出の回避を試みる。

　「このような被害を避けるには、ユーザーがアプリケーションの公式Webサイト以外でインストーラーをダウンロードしないようにするしかない。在宅勤務環境のセキュリティを確保するためのベストプラクティスに従うことも必要だ。脅威がシステムのどこに潜んでいても効率的に検出してブロックするため、多層防御を導入することも推奨される」

　センテノ氏とビクトリア氏はZoom社と協力してこの問題の解決に取り組んでいるという。だが、セキュリティサービスプロバイダーBlockAPTの創設者であるマクロ・エソムバ氏は次のように語る。「トレンドマイクロの最新調査から浮かび上がったのは、パンデミック中に表面化する無数のセキュリティ脅威から身を守る方法への疑問だけではない。CoinMiner.Win64.MOOZ.THCCABOが使っている拡散手段から、そうした対策の責任を誰が負うかという点にも疑問が投げ掛けられている」

　「全員が何らかの責任を負う必要がある。企業は全ての端末でエンドポイント検出ソフトウェアを実行し、追加の防御層を実装する必要がある」（エソムバ氏）

　「これにより、不正なマルウェアや他の悪意があるプログラムが従業員の端末で実行されることを防げる。個々のユーザーは、最新バージョンの更新プログラムとパッチを適用してZoomを最新に保つことで、こうした脅威のほとんどが軽減される」

　2020年4月初旬、ユーザー、メディア、サイバーセキュリティ業界からのプレッシャーを受け、Zoom社は新しいセキュリティ機能を発表した。それはミーティングにおけるパスワードと待合室機能をデフォルトで有効にするものだ。

　2020年4月4日以降、全てのZoomミーティングでパスワードが有効になった。パスワードが埋め込まれたミーティングリンクをクリックして参加すれば何も変化はないが、ミーティングIDを入力して参加する場合はパスワードの入力を要求される。これは、ミーティングIDを知っている“招かれざる参加者”がミーティングを台無しにする「Zoombombing」を阻止する狙いがある。YouTubeには、ミーティングパスワードの見つけ方の動画がアップされている。

　待合室機能は、ホストが許可するまでZoomミーティングへの参加を阻止するための仮想ステージング領域として機能する。この機能の使い方もYouTubeにある。

TechTargetジャパントップセキュリティ