ESETは4月17日(現地時間)、「Look out! CapCut copycats are on the prowl」において、人気の動画編集アプリ「CapCut」に偽装したマルウェア配布キャンペーンを発見したと報じた。ユーザーは動画をダウンロードしたつもりで実行可能ファイルをダウンロードし、気が付かないうちにデバイスを乗っ取られる可能性があるという。

  • Look out! CapCut copycats are on the prowl

    Look out! CapCut copycats are on the prowl

侵害経路

ESETによると、攻撃者はCapCutの上位版として「CapCutProAI」を配布する偽サイトを用いたという。正規の製品は「CapCut Pro」または単純に「Pro」と呼ばれており、攻撃者は存在しない製品名を使用したとされる。

  • CapCutProAIを配布する偽サイト - 引用:ESET

    CapCutProAIを配布する偽サイト 引用:ESET

被害者が偽サイトにアクセスすると、プロンプトの入力またはリファレンスファイルのアップロードを要求される。いずれかに応じると偽サイトは動画を生成しているように見せかける意味のない進捗表示を行う。偽の処理を完了すると生成した動画ファイルとして「Creation_Made_By_CapCut.mp4 – CapCut.com」のダウンロードが可能になる。

このファイル名は一見するとmp4コンテナ形式の動画ファイルだが、実際の拡張子は実行可能ファイルを意味する「.com」となっている。被害者がこの罠に気が付かず再生を試みると、攻撃者の制御下にある遠隔操作ツール(AnyDeskなど)をインストールすることになる。その結果、機密情報の窃取、マルウェアのインストール、デバイスの乗っ取り、さらなるサイバー攻撃の踏み台など、さまざまな被害に遭う可能性がある。

  • 動画ファイルに偽装した実行可能ファイルをダウンロードする様子 - 引用:ESET

    動画ファイルに偽装した実行可能ファイルをダウンロードする様子 引用:ESET

対策

ESETは「Adobe Express」および「Canva」に偽装した同様の攻撃を確認したとして、類似する攻撃に注意を呼びかけている。また、攻撃を回避するためとして次に示す対策の継続した実施を推奨している。

  • ソフトウェアをダウンロードする場合は正規サイトからダウンロードしているかURLを必ず確認する
  • メールやソーシャルネットワーキングサービス(SNS: Social networking service)に記載されたリンクはクリックしない
  • WebサイトのURLに不審な点がないか確認する。特に類似するが存在しない製品名に注意する
  • 既知の脆弱性を悪用されないように、オペレーティングシステム、Webブラウザ、その他のソフトウェア(拡張機能など)を最新の状態にする
  • 多層防御機能を搭載したセキュリティソリューションを導入する
  • オンラインアカウントには一意で強力なパスワードを設定する。さらに多要素認証(MFA: Multi-Factor Authentication)を有効にするなど、基本的なサイバーセキュリティのベストプラクティスを遵守する

この攻撃は最先端のAI技術を餌にしたクリエイターを狙った攻撃と推測されている。特に企業で活動しているクリエイターの場合、内部ネットワークへのアクセスを許すことになり、ランサムウェアなど甚大な被害につながる可能性がある。

攻撃者はクリエイターに限らず、インターネット接続されたデバイスを扱うすべてのユーザーを狙っている。自身が所有しているデバイスに機密データが存在しているかは重要ではない。サイバー犯罪者に攻撃の糸口を与えないようにセキュリティ対策を徹底することが望まれている。