Bitdefenderのセキュリティ研究者は、「FiveSys」と呼ばれるルートキットについて詳しく説明するホワイトペーパーを発表した。このルートキットは、何らかの手段でMicrosoftのドライバー認定プロセスを通過し、Microsoftのデジタル署名を受けていた。
ルートキットは、サイバー犯罪者が感染したコンピューターにアクセスし、コントロールするための悪質なソフトウェアだが、ルートキットが有効な署名を持っている場合、正規のソフトウェアのように見えるため、OSの制約を迂回して「事実上無制限の特権」を得ることができるという。
これまでもサイバー犯罪者がデジタル証明書を盗んで悪用する例は見られたが、今回の場合は有効な証明書を入手することに成功したようだ。サイバー犯罪者がどのような手段で有効な証明書を手に入れたかは、現在も分かっていない。
Bitdefenderの脅威研究および通報担当ディレクターであるBogdan Botezatu氏は、米ZDNetの取材に対して、「検証のプロセスに提出され、何らかの方法でチェックをすり抜けた可能性がある。デジタル署名を得るための要件は、ほとんどのルートキットを検出して止めることができるが、完全ではない」と述べている。
FiveSysが実際にどのように配布されているかは分かっていないが、研究者らは、クラックされたソフトウェアのダウンロードファイルにバンドルされて配布されていると考えている。
FiveSysがインストールされると、インターネットのトラフィックがプロキシサーバーに転送されようになるが、プロキシサーバーが間に入ることでブラウザーから警告が表示されるのを避けるために、ブラウザーにカスタムメイドのルート証明書がインストールされる。また、このルートキットは、ほかのマルウェアがドライバーに書き込みを行うのをブロックする仕組みを持っている。これは、ほかのサイバー犯罪者が感染したシステムを利用するのを防ぐためだと思われる。
攻撃を分析した結果、FiveSysはオンラインゲーマーのログイン認証情報や、ゲーム内購入を乗っ取るために使われていることが明らかになった。
オンラインゲームの人気は高く、大きな金銭が動く可能性がある。これは、アカウントにバンキング情報がひも付けられているからだけでなく、価値の高いゲーム内アイテムを売ることで多額の金銭が得られる場合があり、攻撃者は不正アクセスによってそうしたアイテムを盗んで売ることができる。
現時点では、この攻撃の標的となっているのは中国国内のゲーマーであり、攻撃者も中国国内で活動していると考えられている。
この攻撃キャンペーンは2020年末頃から徐々に始まっていたが、2021年の夏に急拡大した。Bitdefenderが署名が悪用されていることをMicrosoftに通報し、署名が取り消されたため、現在はこの攻撃はブロックされている。米ZDNetはMicrosoftに問い合わせを行ったが、本記事掲載時点までに回答を得られなかった。
このルートキットは、現在はゲームアカウントのログイン認証情報を盗むために使われているが、将来ほかの標的が狙われる可能性もある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。