人気の高い「Mac OS X」向けメディアプレーヤーおよび付随するダウンロードマネージャのダウンロード用ファイルが、トロイの木馬型マルウェアに感染していた。開発元のサーバがハッキングされたためだ。
Eltima Softwareの「Elmedia Player」はユーザー数100万人以上を誇るが、その一部は知らないうちに「Proton」もインストールしてしまった可能性がある。Protonは、監視や窃盗を目的としてMacを標的にするRemote Access Trojan(RAT:リモートアクセス型トロイの木馬)だ。攻撃者らはまた、Eltimaの第2の製品であるダウンロードマネージャ「Folx」にも同じマルウェアを感染させた。
攻撃者はProtonのバックドアにより、ハッキングしたシステムのほぼすべてを閲覧できるほか、ブラウザ情報、キーログ、ユーザー名とパスワード、暗号通貨のウォレット、macOSのキーチェーンデータを盗み出すことができる。
Eltimaの広報担当者は、米ZDNetの取材にメールで回答を寄せた。それによると、攻撃者に「Eltimaのサーバ上にあるJavaScriptライブラリtiny_mceのセキュリティホールを利用」され、サーバが「ハッキングされた」ために、このマルウェアがダウンロード用ファイルとして配布されてしまったという。
この攻撃が明らかになったのは、米国時間10月19日のことだ。ESETのサイバーセキュリティ研究者らはこの日、Elmedia Playerがトロイの木馬型マルウェアProtonを配布していることに気づいた。同日の米東部夏時間午後3時15分より前にEltimaから同ソフトウェアをダウンロードしたユーザーは、システムがマルウェアの攻撃を受けた可能性があるため、注意が必要だ。
攻撃者は何らかの方法で、正当なメディアプレーヤーを包む署名付きラッパーの開発に成功しており、それにProtonがバンドルされる仕掛けになっていた。研究者らがラッパーの署名を確認したところ、すべて同じ「Apple Developer ID」で作成されていたという。
このIDはその後、Appleによって無効にされており、EltimaとESETはAppleと協力して、そもそもこうした悪意ある活動がどのようにして可能になったのかを解明する意向だ。Eltimaの広報担当者は米ZDNetに対し、悪意あるコマンド&コントロール(C&C)サーバが登録されたのは10月15日だが、マルウェアが配布されたのは10月19日以降だと述べた。
不運にも今回の攻撃を受けてしまったユーザー(攻撃を受けたのはElmedia Playerの新規ダウンロードだけで、自動アップデートは攻撃を受けなかった)がマルウェアを除去するには、OSを再度フルインストールするしかない。
ESETは影響を受けた人に対し、データが攻撃者に悪用されることのないよう「適切に対処」するよう警告している。
現在Eltimaのウェブサイトでは、問題が解消されたバージョンのElmedia Playerがダウンロード可能になっている。今回の問題を受け、Eltimaは今後の攻撃からの保護とサーバセキュリティ向上のための措置をとったと述べた。
Appleの広報担当者は米ZDNetに対し、「現段階では新たに伝えることはない」とした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」