Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは？：攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】

トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。

[Arielle Waldman，TechTarget]

　「AvosLocker」は、比較的新しいランサムウェア（身代金要求型マルウェア）攻撃集団だ。2021年にAvosLockerによるとみられる攻撃が初めて観測されたとき、トレンドマイクロとネットワークセキュリティベンダーPalo Alto Networksは、ランサムウェア攻撃集団「REvil」の活動停止で生じた空隙をAvosLockerが埋めることになる可能性を指摘した。

AvosLockerが悪用した「脆弱性」の正体

併せて読みたいお薦め記事

連載：攻撃者集団AvosLockerの手口から考える脆弱性対策

• 前編：Avastのセキュリティソフトを無効化　研究者が明かした“驚きの手口”

さまざまな製品の脆弱性

• Windowsに見つかった「RPC」の危ない脆弱性　パッチ未適用PCは全滅か？
• 北朝鮮の攻撃者グループが悪用か　「Chrome」脆弱性を突く2種類の攻撃とは
• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？

　トレンドマイクロは2022年5月に同社公式ブログのエントリ（投稿）で、AvosLockerによるとみられる攻撃として、Avast Software（2021年にNortonLifeLockが買収を発表）のセキュリティソフトウェアを無効化する手口を紹介した。このブログエントリを執筆した同社研究者のクリストファー・オルドネス氏とアルビン・ニエト氏は、AvosLockerはAvast Softwareの正規の「ルートキット」対策ドライバファイル「aswArPot.sys」の脆弱（ぜいじゃく）性を悪用したとみる。ルートキットは、システムに侵入した攻撃者が、システムを遠隔操作するためのソフトウェア一式を指す。

　ブログエントリによると、Avast Softwareはトレンドマイクロからの通知を受けて、旧バージョンのaswArPot.sysに脆弱性があったことを認めた。Avast Softwareはこの脆弱性を2021年6月に修正済みだ。ブログエントリには、この修正に関するAvast Softwareの声明が記載されている。声明は以下の通りだ。

当社はMicrosoftと密に連携しています。Microsoftは「Windows 10」「Windows 11」に対して、旧バージョンのaswArPot.sysをメモリにロードできないようにしました。（中略）更新を適用したWindows 10とWindows 11デバイスは、この種の攻撃に対して脆弱ではなくなりました

　オルドネス氏とニエト氏は、今回の攻撃の発端が、Zohoの「ManageEngine ADSelfService Plus」（Active Directory」用のパスワード管理ツール）を悪用したプログラムだと考える。ManageEngine ADSelfService Plusの既知の脆弱性「CVE-2021-40539」を悪用した形跡があるからだ。この脆弱性は2021年、セキュリティベンダーSynacktivが開示した。

　企業はIT製品のアップデートのペースになかなか付いていけていない。2022年4月、米国など5カ国の法執行機関は、2021年に最も悪用された脆弱性のリストを公開した。Log4ShellとCVE-2021-40539はこのリストに入っており、依然として攻撃者が注目する脆弱性だ。オルドネス氏とニエト氏によると、これまでに見つかった攻撃者集団と同様にAvosLockerも、さまざまなパッチ未適用の脆弱性を悪用して企業ネットワークに侵入している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。