編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

仮想通貨採掘マルウェア「Dofoil」、PC40万台を狙った攻撃手法が明らかに

Liam Tung (Special to ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-03-15 13:12

 先週、数時間で40万台以上のWindows PCに感染しようとしたマルウェア「Dofoil」の攻撃が確認された。この攻撃を検知したMicrosoftの「Windows Defender Research」チームが明らかにした詳細によると、この拡散の原因は1台のアップデートサーバへの攻撃だった。それにより、「MediaGet」という「BitTorrent」クライアントが、それとほぼ同じだがバックドアのあるプログラムに置き換えられていた。

 この大規模な攻撃は、主にロシアやトルコ、ウクライナのPCを標的として、仮想通貨採掘プログラムを拡散させようとした。Microsoftはこの攻撃を「MediaGetアップデートポイズニング(MediaGet update poisoning)」と呼んで説明している。

 Microsoftは、MediaGetを「潜在的に望ましくないアプリケーション」として扱っているが、今回のケースでは、ロシアで開発されたこのBitTorrentクライアントが攻撃に用いられた。

 Windows Defenderの研究者が指摘しているように、このような攻撃ベクターを利用すればランサムウェアを同じくらい容易に拡散できるため、Dofoilの大発生は優先して対処すべき事案だった。

 ファイル共有アプリはマルウェアの拡散に利用されているが、Microsoftの研究者は、今回の大発生がトレントを使ってダウンロードしたファイルによるものではなく、他のファイル共有アプリのパターンと似ていないことに気づいた。マルウェアは、「mediaget.exe」というプロセスによってもたらされていた。

 Microsoftによると、「入念に計画された攻撃」は2月中旬に実行され、約2週間後にマルウェアが配布されたという。

 「マルウェア拡散をお膳立てするため、攻撃者は、トロイの木馬化したMediaGetをコンピュータにインストールするアップデートポイズニング攻撃を実行した」とWindows Defender Researchチームは述べている

 攻撃の仕組みはこうだ。MediaGetのアップデートサーバの署名付きmediaget.exeが、「update.exe」というプログラムをダウンロードする。このプログラムは署名付きmediaget.exeに似た動作をするが、バックドアのある署名なしのmediaget.exeをインストールする。

 Microsoftは、update.exeに署名したサードパーティ企業も被害者だろうと考えている。

 トロイの木馬化されたmediaget.exeファイルは、正規のMediaGetバイナリと98%同じだ。検知を避けるため、正当なexplorer.exeプロセスで「プロセスハロウイング(Process Hollowing)」を行ってマルウェアを投入する。

 この攻撃がMicrosoftの目を引いたのは、攻撃の下準備に注ぎ込まれた労力と、感染の隠蔽や維持に利用された高度なテクニックのせいだったとみられる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]