セキュリティ研究者らによると、Adobe Systemsの「Adobe Reader」に存在する脆弱性を悪用し、欧州の政府機関を標的とする新たな攻撃が行われているという。
Kaspersky LabとCrySys Labは米国時間2月27日、欧州のさまざまな政府機関や政府団体を攻撃している「MiniDuke」という新たなマルウェアに関する詳細を発表した。Kasperskyによると、ウクライナやポルトガル、ルーマニアといった国の政府機関がこの攻撃の標的となっているという。
MiniDukeは、PDF経由でPCに感染する。悪意のあるハッカー(今回用いられている技法が、1990年代後半に用いられていたものとよく似ているため、しばらく活動していなかったハッカーである可能性もあるとKasperskyは考えている)は、本物のように見える信ぴょう性の非常に高いPDFファイルを作り上げている。こういったファイルがコンピュータにダウンロードされると、アセンブラで記述され、大きさが20Kバイトしかないプログラムが、Adobe Readerのバージョン9~11に存在する未修正の脆弱性を突くようになっている。
ダウンロードされたプログラムがコンピュータ上で活動を開始すると、ユニークな識別子が作成され、同プログラムの作成者との間で交わされるコミュニケーションはすべて暗号化されるようになっている。また同プログラムには、ウイルス対策プログラムやセキュリティ専門家らの目をあざむき、無害なプログラムであると見せかけるための仕組みが施されている。
Kasperskyによると、同プログラムは下調べや検出回避措置をすべて終えた後、Twitterにアクセスし、あらかじめ定められているアカウントのツイートを検索するようになっているという。こういったツイートには暗号化されたURLが含まれており、同プログラムはこのURLにアクセスしたうえで、コマンドを送信し、GIFファイルに組み込まれたプログラムに従って新たなバックドアを仕込むという。
このバックドアは特に悪質である。いったんコンピュータ上でバックドアが機能し始めると、攻撃者はファイルにアクセスしたり、ファイルの移動や削除を行ったり、ディレクトリを作成したりできるようになる。
ハッカーは、Adobeが先週のアップデートでパッチを当てたAdobe Readerの脆弱性を悪用していた。同脆弱性はクラッシュを引き起こす可能性があり、攻撃者が攻撃対象システムの制御を奪い取ることをも可能にするというものだ。Adobeはこのアップデートの1週間前に、同脆弱性が攻撃者によって悪用されたことを認めていたものの、そういった攻撃の性質についての詳細は明らかにしていなかった。
しかしKasperskyによると、攻撃はまだ続いており、最新版のMiniDukeが2月20日に作成されていることを考えると、ハッカーがこのパッチを回避する手段を見つけ出した可能性もあるという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」