ランサムウェア「BitPaymer」、Windows版「iTunes」の脆弱性を悪用

　「iTunes」の「Windows」版に存在するゼロデイ脆弱性を利用して、感染したホスト上でウイルス検知を回避するランサムウェア「BitPaymer」の活動が検出された。

　この攻撃とゼロデイ脆弱性は、サイバーセキュリティ企業のMorphisecが、8月にBitPaymerの被害を受けた自動車業界の大手企業のネットワークで発見したものだ。

　Appleは米国時間10月7日、Windows版のiTunesと「iCloud」の両方で、このゼロデイ脆弱性を修正するパッチを公開した（1、2）。ただし、このバグが実際に存在するのは、両製品に付属するアップデートコンポーネントの「Bonjour」だ。

　BitPaymerの攻撃者は、「引用符なしのサービスパス」と呼ばれる脆弱性がBonjourのコードに存在することを発見した。

　この種の脆弱性を利用すると、攻撃者はBonjourコンポーネントを利用して実行パスを乗っ取り、パスの指定先をBitPaymerに変更できる。

　BitPaymerは、このゼロデイ脆弱性を利用して管理者権限を取得することはできなかったが、ローカルにインストールされているウイルス対策ツールを欺くことには成功した。

　Morphisecは今週、米ZDNetにのみ開示していたレポートで、同社がこのゼロデイ脆弱性の証拠を発見してAppleに問題を報告したところ、Appleは10月になってパッチを公開したと述べた。

　ただし、Morphisecの最高技術責任者（CTO）を務めるMichael Gorelik氏によれば、過去にこれらのアプリを使ったことがあるユーザーも脆弱な状態にあるという。その理由は、ユーザーがWindows用のiTunesとiCloudをアンインストールしても、BonjourコンポーネントがWindowsのシステムに残っているからだ。

　システム管理者は、ワークステーションをスキャンしてBonjourコンポーネントの有無を確認し、手動で削除するか、最新のWindows用のiTunesをインストールして、古いBonjourコンポーネントを確実にアップデートする必要がある。