欧州の政府機関、「MiniDuke」マルウェアの標的に--「Adobe Reader」を経由

Don Reisinger (Special to CNET News) 翻訳校正: 編集部2013年02月28日 12時44分

 セキュリティ研究者らによると、Adobe Systemsの「Adobe Reader」に存在する脆弱性を悪用し、欧州の政府機関を標的とする新たな攻撃が行われているという。

 Kaspersky LabCrySys Labは米国時間2月27日、欧州のさまざまな政府機関や政府団体を攻撃している「MiniDuke」という新たなマルウェアに関する詳細を発表した。Kasperskyによると、ウクライナやポルトガル、ルーマニアといった国の政府機関がこの攻撃の標的となっているという。

 MiniDukeは、PDF経由でPCに感染する。悪意のあるハッカー(今回用いられている技法が、1990年代後半に用いられていたものとよく似ているため、しばらく活動していなかったハッカーである可能性もあるとKasperskyは考えている)は、本物のように見える信ぴょう性の非常に高いPDFファイルを作り上げている。こういったファイルがコンピュータにダウンロードされると、アセンブラで記述され、大きさが20Kバイトしかないプログラムが、Adobe Readerのバージョン9~11に存在する未修正の脆弱性を突くようになっている。

 ダウンロードされたプログラムがコンピュータ上で活動を開始すると、ユニークな識別子が作成され、同プログラムの作成者との間で交わされるコミュニケーションはすべて暗号化されるようになっている。また同プログラムには、ウイルス対策プログラムやセキュリティ専門家らの目をあざむき、無害なプログラムであると見せかけるための仕組みが施されている。

 Kasperskyによると、同プログラムは下調べや検出回避措置をすべて終えた後、Twitterにアクセスし、あらかじめ定められているアカウントのツイートを検索するようになっているという。こういったツイートには暗号化されたURLが含まれており、同プログラムはこのURLにアクセスしたうえで、コマンドを送信し、GIFファイルに組み込まれたプログラムに従って新たなバックドアを仕込むという。

 このバックドアは特に悪質である。いったんコンピュータ上でバックドアが機能し始めると、攻撃者はファイルにアクセスしたり、ファイルの移動や削除を行ったり、ディレクトリを作成したりできるようになる。

 ハッカーは、Adobeが先週のアップデートでパッチを当てたAdobe Readerの脆弱性を悪用していた。同脆弱性はクラッシュを引き起こす可能性があり、攻撃者が攻撃対象システムの制御を奪い取ることをも可能にするというものだ。Adobeはこのアップデートの1週間前に、同脆弱性が攻撃者によって悪用されたことを認めていたものの、そういった攻撃の性質についての詳細は明らかにしていなかった。

 しかしKasperskyによると、攻撃はまだ続いており、最新版のMiniDukeが2月20日に作成されていることを考えると、ハッカーがこのパッチを回避する手段を見つけ出した可能性もあるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]