Meltdown&Spectre用の「偽の修正パッチ」に注意:初の悪用事例
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
サイバー攻撃者がプロセッサの脆弱(ぜいじゃく)性である「Meltdown」と「Spectre」を悪用する初の試みは、この欠陥を修正するセキュリティ更新プログラムに見せかけることだった。
Computer Weekly日本語版 3月7日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
セキュリティ企業Malwarebytesの研究員は、あるドイツ語のWebサイトを発見した。このサイトは政府の支援を受けているように見せかけ、MeltdownとSpectreのヘルプを提供している。だが、これにはマルウェアへのリンクが含まれている。
「このサイトはドイツ連邦情報セキュリティ局が公開しているかのように装っている。だが、このSSL対応のフィッシングサイトは、正規の政府機関とは無関係だ」とブログに投稿したのはMalwarebytesでマルウェア情報の主任アナリストを務めるジェローム・セグラ氏だ。
この偽装サイト「sicherheit-informationstechnik.bid」には、ZIPファイルへのリンクが含まれている。サイトの説明によると、最近発見され、最新のコンピュータに影響を与える脆弱性に対するパッチがこのアーカイブに含まれているという。だが、このセキュリティ更新プログラム(Intel-AMD-SecurityPatch-10-1-v1.exe)は偽物で、実際には「Smoke Loader」という追加のペイロードを取得するマルウェアだ。
「このマルウェアに感染するとさまざまなドメインに接続を試み、暗号化した情報を送信する悪意のあるファイルを表示する」とセグラ氏はブログに記載している。
「悪用されたSSL証明書内の『Subject Alternative Name』(サブジェクトの別名)フィールドには、他にも.bidドメインに関連付けられたプロパティが表示される。こうしたプロパティには、Adobe Flash Playerの偽の更新プログラム用のドイツ語テンプレートなどがある」(セグラ氏)
セグラ氏によると、この偽のヘルプWebサイトについて、MalwarebytesからComodo GroupとCloudflareに通知したところ、数分でオフラインになったという。
「オンライン犯罪は、一般に知られた事象を迅速に悪用することが知られている。こうしたオンライン犯罪では通常フィッシングキャンペーンが利用される。だが、今回の件は興味深い。今回はパッチを適用するよう求められる。実はそのパッチ自体が犯罪者によって偽装されているのだ」と同氏は話す。
セグラ氏は、サプライヤーから行動を起こすよう促された場合でも、行動を起こさないよう企業に警告している。
続きはComputer Weekly日本語版 3月7日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月21日号 Spectre&Meltdownの見つけ方
Computer Weekly日本語版 2月7日号 キャッシュレス先進国の現実
Computer Weekly日本語版 1月24日号 “侵入者をだますセキュリティ”のススメ
Copyright © ITmedia, Inc. All Rights Reserved.