Evil pics in Telegram(Kaspersky Lab Dialyより)
メッセージアプリは友人や知人とやり取りするのに手軽で、便利な方法だ。だがメリットがある一方、侵入者が入り込む入り口にもなり得る。実際、Facebook Messenger、Skype、Viber、WhatsAppなどのメッセージプラットフォーム経由でスパイを行うAndroidを狙ったトロイの木馬Skygofreeも登場している(1月16日の同氏の投稿記事)のだからとKaspersky LabのAnna Markovskaya氏は具体例を出して、メッセージアプリには細心の注意を払うように呼びかけている。ネットワークで外界と繋がるアプリケーションには常に悪用の可能性を念頭に入れなければならないことを改めて思わせる事例だ。具体例ではメッセージングアプリTelegramを通じて拡散するというマルウェアを例にしている。
Telegramには、RLO(Right to Left Override)の脆弱性があった。世界には右から左に書く言語(アラブ語、ヘブライ語など)があり、Unicodeは言語の方向変換を可能にし、目に見えない特別な文字と文字列を利用して、自動で逆方向に表示できる。悪意あるハッカーは今回、この仕組みを利用したのだという。RLO自体は、ファイル名やフォルダ名を選択状態にして右クリックすることで表示可能だ。
サイバー犯罪者がTrojan.jsという悪意あるファイルを作成したとする。JS拡張から見ると、これはJavaScriptファイルであり、任意の実行コードを含むことができる。注意深いユーザーなら、怪しんで実行しないだろう。だが、cute_kitten*U+202E*gnp.jsなどのような名称に変更することもできる。"U+202E"のようにUnicodeを挟み、逆から読むことでcute_kittensj.png.とPNGに見えるようにしてしまう。よくある写真ファイルの名前に見えるが実際は、JavaScriptのトロイの木馬という仕掛けだ。Anna Markovskaya氏によるとUnicodeを使ったファイル名の変更手法は、新しいものではなく10年以上前にも、悪意ある電子メールの添付ファイルとファイルのダウンロードを隠すために用いられた例があり、多くの環境がそれを防ぐ対策をとっている。しかしTelegramが最初に攻撃された際、この攻撃手法は成功した。つまり、TelegramはいわゆるRLO(Right to Left Override)脆弱性を抱えている(抱えていたというべきか)ことになる。これをKaspersky Labの研究者は見つけたというわけだ。
-
フォルダでRLO(Right to Left Override)表示
Kaspersky LabはWindows向けのTelegramのクライアントのみで見つけ、攻撃者が実際に使っているところも発見。実行ファイルを一度起動すると、マルウェアは"かわいい子猫"を表示して、警戒させないようにし背後で動くという。通常、被害者のOSは、もし未知のソースから実行ファイルを実行しようとしたら、それについて警告するが、多くの人はメッセージをよく読むことなく「実行」をクリックしてしまう点も注意しなければならないポイントだと指摘している。
ペイロードの種類として、密かにインストールされるマイニングソフトウェア、やバックドアがあるという。
1)の場合、動き出すとコンピューターの速度は落ち、オーバーヒートし、攻撃者に代わって被害者のコンピューター上で仮想通貨のマイニングを行おうとする。
2)の場合、サイバー犯罪者はこれを利用して遠隔からコンピューターを管理し、好きなように動かす。プログラムを削除したりインストールして、個人情報も収集する。ユーザーはこのような感染に長い間気がつかないことが多い。
Kaspersky Labの研究者はすぐにこの脆弱性問題をTelegramの開発者に通知した。そしてTelegramの開発者はこれを修正した。だからといって、Telegramやその他の人気メッセージアプリに脆弱性がなくなったということではない。単にまだ報告されていないだけかもしれないとして以下の3つを推奨している。
・リスクのあるソースからファイルをダウンロードしたり、開かないこと。知らない人から写真を受け取っても、すぐに開かないこと。よくよく考えてから行動しよう。
・ファイル開示についてシステムが警告を出していたら、自分が開こうとするファイルと記述が一致するかどうかを確認すること。
・信頼できるソフトウェアソリューションをインストールしておこう。ダウンロードやインストールの段階でマルウェアから保護してくれる。
