Kaspersky Lab、メッセンジャーアプリTelegramのゼロデイ脆弱性を悪用したマルウェア攻撃を発見
PR TIMES / 2018年2月21日 14時1分
~暗号通貨を採掘するマイニング用ソフトウェアやバックドアなど多目的なマルウェアを配布~
Kaspersky Labのリサーチャーは、メッセンジャーアプリ「Telegram」のWindowsデスクトップ版アプリのゼロデイ脆弱性を悪用した、新しいマルウェアによる攻撃が実行されていることを突き止めました。この脆弱性を悪用し、コンピューターの状態に応じて、マイニング用ソフトウェアやバックドアなど多目的なマルウェアの配布が行われました。調査の結果、この脆弱性の悪用は2017年3月からロシアで活発に行われ、MoneroやZcashなどの暗号通貨のマイニングに利用されています。
[本リリースは、2018年2月13日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
インスタントメッセンジャーは、友人や家族との連絡手段として広く利用されているため、ひとたび攻撃の標的となってしまうと、非常に広い範囲に深刻な影響を及ぼします。たとえば、Kaspersky Labが1月に調査レポートを発表した、WhatsAppのメッセージを窃取することができる高度なモバイルマルウェア「Skygofree」も記憶に新しいでしょう。
今回の調査によると、このTelegramのゼロデイ脆弱性を突いた攻撃は、RLO(right-to-left override)というUnicodeの制御文字を悪用しています。RLOは一般に、文字を右から左に向かって読むアラビア語やヘブライ語などの言語に対応する際に用いられていますが、拡張子を偽装する手法としても古くから悪用されています。例えば、悪意ある実行ファイルを画像に見せかけて、ユーザーにダウンロードを促すよう仕向けることが可能です。
具体的には、ファイル名にRLOを挿入して、ファイル名の文字を逆に並べ替えることで、マルウェアが仕込まれた実行ファイルをダウンロードさせ、マルウェアに感染させます。Kaspersky Labはこの脆弱性をTelegramの開発元に報告しました。本プレスリリース発表時点では、同社のメッセンジャーアプリ内でこのゼロデイ脆弱性は確認されていません。
解析の過程でKaspersky Labのリサーチャーは、サイバー犯罪者がこのゼロデイ脆弱性を悪用したいくつかのパターンを特定しました。まず、この脆弱性はマイニング用マルウェアの配布のために利用されるため、ユーザーに深刻な影響を与える恐れがあります。標的のコンピューターの処理能力を利用して、Monero、Zcash、Fantomcoinなどのさまざまな暗号通貨を採掘します。また、当社のリサーチャーがマルウェア作成者のサーバーを解析したところ、標的のコンピューターからTelegramアプリのローカルキャッシュを含むアーカイブファイルを窃取していることも突き止めました。
また、この脆弱性の悪用が成功すると、Telegram APIをコマンド送信プロトコルとして使用するバックドアがインストールされ、標的のコンピューターを遠隔操作することが可能になります。インストールされたバックドアはサイレントモードで動作を開始するため、マルウェア作成者は標的にしたユーザーに気づかれることなく、ネットワーク内で追加のスパイウェアツールをインストールするコマンドなど、さまざまなコマンドを実行することができます。調査で見つかった痕跡から、サイバー犯罪者はロシア語を使うとみています。
Kaspersky Labの標的型攻撃リサーチ部門でマルウェアアナリストを務めるアレクシセイ・フィルシュ(Alexey Firsh)は次のように述べています。「インスタントメッセンジャーは非常に人気の高いサービスであるため、ユーザーが犯罪者の標的とならないよう、開発者がユーザーを守るための適切な保護対策を施すことがきわめて重要です。当社では、このゼロデイ脆弱性が、一般的なマルウェアやスパイウェアだけでなく、マイニングソフトウェアの配布にも利用されたパターンをいくつか特定しました。このような感染事例は世界的に広まっており、昨年は年間を通じて見られました。」
カスペルスキー製品は、この脆弱性が悪用されたケースを検知・ブロックします。
Kaspersky Labでは、PCのマルウェア感染を防ぐため、以下を推奨しています。
・信頼できない提供元からファイルをダウンロードして開かない。
・プライベートな情報や個人情報をインスタントメッセンジャーで共有することはなるべく避ける。
・信頼できるセキュリティ製品をインストールし、悪意あるマイニング用ソフトウェアを含むあらゆる脅威を検知して防げるようにする。
この脆弱性の技術的な詳細については、Securelistブログ「Zero-day vulnerability in Telegram」(英語)をご覧ください。Kaspersky Dailyブログ「Telegram上で無害なファイルになりすますマルウェア」でもご紹介しています。
<「Zero-day vulnerability in Telegram」(英語)>
https://securelist.com/zero-day-vulnerability-in-telegram/83800/
<Kaspersky Dailyブログ「Telegram上で無害なファイルになりすますマルウェア」>
https://blog.kaspersky.co.jp/telegram-rlo-vulnerability/19553
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
[画像: https://prtimes.jp/i/11471/69/resize/d11471-69-731671-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害
マイナビニュース / 2024年4月22日 7時48分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
Macユーザーは偽の「Arcブラウザ」と会議ソフト「Meethub」に注意
マイナビニュース / 2024年4月3日 13時21分
-
Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
PR TIMES / 2024年3月29日 16時40分
ランキング
-
1【速報】1ドル=155円を突破 円安止まらず 日米金利差「縮まらない」見方から円売り・ドル買い強まる
TBS NEWS DIG Powered by JNN / 2024年4月24日 21時19分
-
2サイゼリヤ、ギリギリ「国内黒字化」も残る難題 国内事業の利益率0.05%、値上げなしで大丈夫か
東洋経済オンライン / 2024年4月24日 7時30分
-
3山手線沿線の再開発が進む 「新宿、渋谷、品川」駅の工事はいつ終わるのか
ITmedia ビジネスオンライン / 2024年4月25日 7時10分
-
4目印は「エコだ値」シール、セブン-イレブン“見切り品”値引き拡大へ 食品ロス削減へ…客「貢献できて嬉しい」【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年4月23日 20時0分
-
5過度の変動望ましくない、動向注視し万全の対応行う=円安で官房長官
ロイター / 2024年4月25日 11時35分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください