Kaspersky Lab、メッセンジャーアプリTelegramのゼロデイ脆弱性を悪用したマルウェア攻撃を発見

~暗号通貨を採掘するマイニング用ソフトウェアやバックドアなど多目的なマルウェアを配布~

株式会社カスペルスキー

Kaspersky Labのリサーチャーは、メッセンジャーアプリ「Telegram」のWindowsデスクトップ版アプリのゼロデイ脆弱性を悪用した、新しいマルウェアによる攻撃が実行されていることを突き止めました。この脆弱性を悪用し、コンピューターの状態に応じて、マイニング用ソフトウェアやバックドアなど多目的なマルウェアの配布が行われました。調査の結果、この脆弱性の悪用は2017年3月からロシアで活発に行われ、MoneroやZcashなどの暗号通貨のマイニングに利用されています。
 [本リリースは、2018年2月13日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

インスタントメッセンジャーは、友人や家族との連絡手段として広く利用されているため、ひとたび攻撃の標的となってしまうと、非常に広い範囲に深刻な影響を及ぼします。たとえば、Kaspersky Labが1月に調査レポートを発表した、WhatsAppのメッセージを窃取することができる高度なモバイルマルウェア「Skygofree」も記憶に新しいでしょう。

今回の調査によると、このTelegramのゼロデイ脆弱性を突いた攻撃は、RLO(right-to-left override)というUnicodeの制御文字を悪用しています。RLOは一般に、文字を右から左に向かって読むアラビア語やヘブライ語などの言語に対応する際に用いられていますが、拡張子を偽装する手法としても古くから悪用されています。例えば、悪意ある実行ファイルを画像に見せかけて、ユーザーにダウンロードを促すよう仕向けることが可能です。

具体的には、ファイル名にRLOを挿入して、ファイル名の文字を逆に並べ替えることで、マルウェアが仕込まれた実行ファイルをダウンロードさせ、マルウェアに感染させます。Kaspersky Labはこの脆弱性をTelegramの開発元に報告しました。本プレスリリース発表時点では、同社のメッセンジャーアプリ内でこのゼロデイ脆弱性は確認されていません。

解析の過程でKaspersky Labのリサーチャーは、サイバー犯罪者がこのゼロデイ脆弱性を悪用したいくつかのパターンを特定しました。まず、この脆弱性はマイニング用マルウェアの配布のために利用されるため、ユーザーに深刻な影響を与える恐れがあります。標的のコンピューターの処理能力を利用して、Monero、Zcash、Fantomcoinなどのさまざまな暗号通貨を採掘します。また、当社のリサーチャーがマルウェア作成者のサーバーを解析したところ、標的のコンピューターからTelegramアプリのローカルキャッシュを含むアーカイブファイルを窃取していることも突き止めました。

また、この脆弱性の悪用が成功すると、Telegram APIをコマンド送信プロトコルとして使用するバックドアがインストールされ、標的のコンピューターを遠隔操作することが可能になります。インストールされたバックドアはサイレントモードで動作を開始するため、マルウェア作成者は標的にしたユーザーに気づかれることなく、ネットワーク内で追加のスパイウェアツールをインストールするコマンドなど、さまざまなコマンドを実行することができます。調査で見つかった痕跡から、サイバー犯罪者はロシア語を使うとみています。

Kaspersky Labの標的型攻撃リサーチ部門でマルウェアアナリストを務めるアレクシセイ・フィルシュ(Alexey Firsh)は次のように述べています。「インスタントメッセンジャーは非常に人気の高いサービスであるため、ユーザーが犯罪者の標的とならないよう、開発者がユーザーを守るための適切な保護対策を施すことがきわめて重要です。当社では、このゼロデイ脆弱性が、一般的なマルウェアやスパイウェアだけでなく、マイニングソフトウェアの配布にも利用されたパターンをいくつか特定しました。このような感染事例は世界的に広まっており、昨年は年間を通じて見られました。」

 カスペルスキー製品は、この脆弱性が悪用されたケースを検知・ブロックします。

Kaspersky Labでは、PCのマルウェア感染を防ぐため、以下を推奨しています。
・信頼できない提供元からファイルをダウンロードして開かない。
・プライベートな情報や個人情報をインスタントメッセンジャーで共有することはなるべく避ける。
・信頼できるセキュリティ製品をインストールし、悪意あるマイニング用ソフトウェアを含むあらゆる脅威を検知して防げるようにする。

この脆弱性の技術的な詳細については、Securelistブログ「Zero-day vulnerability in Telegram」(英語)をご覧ください。Kaspersky Dailyブログ「Telegram上で無害なファイルになりすますマルウェア」でもご紹介しています。
<「Zero-day vulnerability in Telegram」(英語)>
 https://securelist.com/zero-day-vulnerability-in-telegram/83800/

<Kaspersky Dailyブログ「Telegram上で無害なファイルになりすますマルウェア」>
https://blog.kaspersky.co.jp/telegram-rlo-vulnerability/19553

 
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社カスペルスキー

11フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月