4月23日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。ルータのDNSを書き換えて乗っ取る攻撃が広まったことを受け、米国や英国でネットワークインフラ機器を狙う攻撃について注意喚起が出された。
一般家庭でも企業でも、ルータはネットワークの入り口となる重要な機器。ここを乗っ取られるとネットワーク内は無防備となる。最近はネットワークに接続するIoTスピーカーなども普及し、そこにはまだ見ぬ脆弱性が潜んでいるかもしれない。
ルータを狙う攻撃がブラジルで発生
米国の国土安全保障省、連邦捜査局(FBI)、英国の国家サイバーセキュリティセンターは4月16日(米国時間)、ルータや侵入検知システムなど、ネットワークインフラ機器を狙う攻撃について共同で警告を発した。
IoTデバイスなどの普及により、ネットワーク経由で多くのサービスが提供されている現在、自宅でも企業でも重要なゲートウェイとなるルータを狙った攻撃が集中している。もしルータが乗っ取られてしまうと、そこに接続しているPC、スマートフォン、ネットワークカメラなど、あらゆるデバイスが危険にさらされる。
こうしたルータとネットワークインフラを狙った攻撃が、現在ブラジルで多く確認されている。この攻撃は、MiktoTik製ルーティングソフト「RouterOS」上で動作するスクリプトで記述されており、コマンド&コントロール(C&C)サーバにGETリクエストを送信し、感染機器のIPアドレスをC&Cサーバに通知する。攻撃が成功するとドメインが変更され、不正サイトへの誘導を行う。しかもこの攻撃は第1段階と見られており、第2段階としてマルウェアの侵入を試みる恐れもあるとしている。
対策としては、常にルータのDNS設定を確認しておくこと。ファームウェアを最新にしておくのは当然の予防策だ。また、ルータを含めてデバイスのパスワードを複雑なものに変更するのも有効。初期状態のままにしておくのは危険極まりない。
DNS書き換えで拡散するAndroid端末向け不正アプリ「XLOADER」
3月上旬ごろから、DNSキャッシュポイズニングや、DNSスプーフィングと呼ばれる攻撃が確認されている。この攻撃が成功するとデバイスのDNS設定が書き換えられ、Android端末向け不正アプリ「XLOADER」のダウンロードなどが行われるという。
「XLOADER」は、個人情報、金融機関情報、アプリ一覧情報などを窃取したり、端末を乗っ取って設定の変更を妨害する不正アプリ。正規アプリの「Facebook」や「Chrome」などに偽装している。インストール時には端末の管理者権限を要求し、承認後にアプリ一覧からアイコンを隠して起動。バックラウンドで不正活動をし続ける。
また、ユーザーを欺くため感染端末にHTTPサーバを構築し、個人情報を窃取するためのフィッシングページを表示する。このフィッシングページは、端末に設定した言語にあわせて、韓国語、日本語、中国語、英語がある。
対策として重要になるのはやはり予防。自宅のルータが正常かどうか、DNSなどを定期的に確認しよう。ファームウェアは常に最新の状態に保ち、侵入を許さないことだ。パスワードが簡単に破られないよう、パスワード強度をより高めておきたい。侵入されると管理者権限を奪われて、セキュリティソフトで駆除できない場合もあるという。
配布終了したWindows Movie Makerの偽物が拡散
4月25日の時点で、マイクロソフトの「Windows Movie Maker」を改造したソフトを配布するサイトが確認されている。Windows Movie Makerは、簡単なビデオ編集が可能な無料ツールで、2017年1月に公式配布が終了している。現在は公式での入手は不可能だが、非公式にダウンロードできるサイトも存在する。
改造ソフトを拡散しているのは「windows-movie-maker.org」というWebサイト。Windows Movie Makerは今も使用している人は多いようで、改造ソフトの拡散拡大につながっている。しかも改造ソフトを配布しているサイトは、検索エンジンに対してWebサイトの最適化を行っており、「Movie Maker」や「Windows Movie Maker」という単語をGoogleで検索すると上位に表示されるという。現在はURLを変えているとのことだが、日本語での検索でも上位に来ていた。2017年11月5日の時点で、世界第3位の脅威とされており、イスラエルでは第1位を記録。フィリピン、フィンランド、デンマークでも検出されるなど感染被害は大きい。
配布されている改造Windows Movie Makerは試用版で、全機能を使うためにはフルバージョンへのアップデートが必要。アップデートを促す画面が頻繁に表示され、有料アップデートを求めてくる。根負けして支払ってしまうケースもあるかもしれない。なおアップグレード価格は約3,300円(29.95ドル)となっている。
もし「windows-movie-maker.org」上でダウンロードしたMovie Makerをすでにインストールしてしまっている場合、対策はただちにアンインストールしてウイルス対策ソフトでスキャンすること。Windows Movie Makerの配布は終了しているので、使用を諦めるべきだ。
Apple製品の脆弱性に対するアップデート
Appleは4月25日、同社製品の脆弱性に対するアップデートを開始した。対象となるのは、Safari 11.1以前、macOS High Sierra 10.13.4(Security Update 2018-001未適用)、iOS 11.3.1以前。
脆弱性を放置すると、任意のコードが実行されたり、権限昇格、ユーザーインタフェースの偽装などが実行される可能性がある。対象製品を所持している場合は、速やかにアップデートを行うこと。
CLIP STUDIO PAINTなどのインストーラに脆弱性
セルシスは4月27日、同社製品のインストーラにDLL読み込みの脆弱性があることを発表した。対象となる製品は以下の通り。
- CLIP STUDIO PAINT(Windows版) EX/PRO/DEBUT Ver.1.7.3以前
- CLIP STUDIO ACTION(Windows版) Ver.1.5.5以前(デジタル署名のタイムスタンプが2018年4月25日12:11:31より以前)
- CLIP STUDIO MODELER(Windows版) Ver.1.6.3以前(デジタル署名のタイムスタンプが2018年4月25日17:02:49以前)
脆弱性は、同一ディレクトリに存在する特定のDLLを読み込んでしまうもので、DLLを読み込む際の検索パスに問題がある。これにより、インストーラを実行する権限で任意のコードを実行される可能性があるとのこと。
脆弱性の影響を受けるのはインストーラの起動時のみなので、すでにインストール済みの場合は問題はない。これからインストールする場合は、最新のインストーラを使用すること。インストーラと同じディレクトリに、不審なファイルがないかもチェックするとよい。