「Rietspoof」マルウェア、インスタントメッセージアプリで拡散--セキュリティ研究者らが警告

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2019-02-20 11:30

 Avastのセキュリティ研究者らは、「Rietspoof」と呼ばれる新種のchromeが、FacebookのMessengerやSkypeなどのインスタントメッセージングアプリ経由で拡散していることを明らかにした。

 研究者らは、米国時間2月16日に発表されたレポートで、この新しい脅威は「マルチステージマルウェア」だと説明している。このマルウェアが発見されたのは2018年8月だったが、2019年1月になって拡散の取り組みが目立って増えてくるまでは、あまり気に留められていなかった。

 Rietspoofの主な役割は、被害者を感染させ、感染したホストで持続性を獲得し、その後ほかの種類のマルウェアをダウンロードすることだ。どのマルウェアをダウンロードするかは、中央の指令サーバから受けた命令による。

 このマルウェアの持続性は、WindowsのスタートアップフォルダにLNKファイル(ショートカットファイル)を置くことで実現されている。ほとんどのアンチウイルスソフトはこのフォルダを監視しているが、Avastによれば、Rietspoofは正規の証明書で署名されているため、セキュリティチェックをすり抜けてしまうという。

 感染ルーチンは4段階のステージから構成されている(詳細については、Avastの記事に説明されている)。Rietspoofが実際に感染するのは3つ目のステージで、最終ステージではより侵襲性が高く強力なマルウェアがダウンロードされる。

 Rietspoofはセキュリティ研究者が「ドロッパー」や「ダウンローダー」と呼んでいる種類のマルウェアで、その唯一の目的は標的を「ほかのもっと強力なマルウェア」に感染させることだ。

 このため、機能は非常に限られている。できるのは、ファイルのダウンロード、実行、アップロード、削除と、緊急時に自分自身を削除することだけだ。いずれにせよ、これらはRietspoofが役割を果たす上で十分な機能だと言える。

 Avastは、Rietspoofについて調査を始めて以降、指令をやりとりするための通信プロトコルが変更されていることや、他にも小さな変更が加えられていることから、このマルウェアの開発はまだ積極的に続けられていると考えている。

 同社の記事には、「わが社の調査では、感染チェーンの全貌を明らかにできたかどうかはまだ確認できていない」と述べられている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]