2022年06月27日 08時15分 公開
特集/連載

Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】

トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。

[Arielle Waldman,TechTarget]

 「AvosLocker」は、比較的新しいランサムウェア(身代金要求型マルウェア)攻撃集団だ。2021年にAvosLockerによるとみられる攻撃が初めて観測されたとき、トレンドマイクロとネットワークセキュリティベンダーPalo Alto Networksは、ランサムウェア攻撃集団「REvil」の活動停止で生じた空隙をAvosLockerが埋めることになる可能性を指摘した。

AvosLockerが悪用した「脆弱性」の正体

 トレンドマイクロは2022年5月に同社公式ブログのエントリ(投稿)で、AvosLockerによるとみられる攻撃として、Avast Software(2021年にNortonLifeLockが買収を発表)のセキュリティソフトウェアを無効化する手口を紹介した。このブログエントリを執筆した同社研究者のクリストファー・オルドネス氏とアルビン・ニエト氏は、AvosLockerはAvast Softwareの正規の「ルートキット」対策ドライバファイル「aswArPot.sys」の脆弱(ぜいじゃく)性を悪用したとみる。ルートキットは、システムに侵入した攻撃者が、システムを遠隔操作するためのソフトウェア一式を指す。

 ブログエントリによると、Avast Softwareはトレンドマイクロからの通知を受けて、旧バージョンのaswArPot.sysに脆弱性があったことを認めた。Avast Softwareはこの脆弱性を2021年6月に修正済みだ。ブログエントリには、この修正に関するAvast Softwareの声明が記載されている。声明は以下の通りだ。

当社はMicrosoftと密に連携しています。Microsoftは「Windows 10」「Windows 11」に対して、旧バージョンのaswArPot.sysをメモリにロードできないようにしました。(中略)更新を適用したWindows 10とWindows 11デバイスは、この種の攻撃に対して脆弱ではなくなりました

 オルドネス氏とニエト氏は、今回の攻撃の発端が、Zohoの「ManageEngine ADSelfService Plus」(Active Directory」用のパスワード管理ツール)を悪用したプログラムだと考える。ManageEngine ADSelfService Plusの既知の脆弱性「CVE-2021-40539」を悪用した形跡があるからだ。この脆弱性は2021年、セキュリティベンダーSynacktivが開示した。

 企業はIT製品のアップデートのペースになかなか付いていけていない。2022年4月、米国など5カ国の法執行機関は、2021年に最も悪用された脆弱性のリストを公開した。Log4ShellとCVE-2021-40539はこのリストに入っており、依然として攻撃者が注目する脆弱性だ。オルドネス氏とニエト氏によると、これまでに見つかった攻撃者集団と同様にAvosLockerも、さまざまなパッチ未適用の脆弱性を悪用して企業ネットワークに侵入している。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news088.jpg

Amazon最強伝説を検証する
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news041.jpg

TwitterとShopifyが提携 米国のマーケターが熱視線を送る“ソーシャルコマース”とは?
TwitterはShopifyとの提携により、米国においてEC機能を拡張する。

news103.jpg

脱Cookie時代にデジタル広告が取り戻すべきものとは?
インターネット黎明期からデジタル広告の市場創造に携わってきた著者が今、気象データの...