7月15日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
4.5PBのファイル爆弾「ZIP Bomb」
46MBのZIPファイルを解凍すると、実に4.5PBに膨れ上がるというZIP爆弾「Zip Bomb」が公開されている。元となるのは、David Fifield氏がソースコードを公開している「A better zip bomb」と呼ばれるもの。42KBのファイルを解凍すると5.5GBまで膨れる機能を持つ。今回の事例では、46MBのファイルが4.5PBの巨大なサイズになるという。
仕組み的に、既存のセキュリティソフトウェアでの発見が困難ともされおり、エンドユーザーとしては何としても回避したい。怪しいファイルのダウンロードや解凍は控えることだ。
ゲームやカメラアプリに偽装したアドウェアをGoogle Playで確認
トレンドマイクロのセキュリティブログによると、2019年6月中旬ごろ、182個の不正なゲームやカメラアプリがGoogle Playを中心に確認されたという。不正アプリのうち111個がGoogle Playで、残りは9AppsとPP Assistantといったサードパーティのアプリストアで発見された。これらの不正アプリはすでに削除されているが、すでに約9,349,000回ダウンロードされているとのこと。
不正アプリにはアドウェアが仕込まれている。このアドウェアは感染後にアプリのアイコンの表示を消しアンインストールを困難にし、ユーザーが画面ロックを解除すると全画面広告を表示。全画面広告はすぐに閉じられない。設定秒数が経過した後に表示されるボタンを押さないと閉じないようになっている。
このアドウェアに感染してしまったら、アプリ情報から悪さをしているアプリを特定して、手動でアンインストールするしかない。日ごろからアプリのインストールには十分注意し、感染を未然に防ぐことが重要だ。
Google、Chromeの最新バージョン「75.0.3770.142」をリリース
Googleは7月15日、Chromeの最新バージョン「75.0.3770.142」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。
今回のアップデートでは2件の脆弱性を修正。「JavaScript」エンジン「V8」の密封、および凍結した要素がクラッシュする問題に対応している。重要度は「高(High)」。
フォントサイズにより機密情報が公開される可能性がある問題も修正。こちらは重要度「中(Medium)」となる。
Windows Defenderの脆弱性に対するアップデート
マイクロソフトは7月16日、Windows Defender Application Control(WDAC)のセキュリティ機能のバイパスに、脆弱性が存在することを発表した。
攻撃者がこの脆弱性を悪用した場合、PowerShellコアの制約付き言語モードを回避可能。PowerShellが制約言語モードで実行されているローカルコンピュータにおいて、管理者アクセス権を入手できるという。
この脆弱性の深刻度は「重要」と高いものの、発表時点で悪用は確認されていない。定例外で対策済みアップデートが公開されているので、できるだけ早急に適用しておくことだ。対策バージョンはPowerShell Core 6.2。
Slackを悪用するマルウェア「SLUB」
トレンドマイクロのセキュリティブログによると、バックドア型マルウェア「SLUB」の新バージョンが確認された。2019年2月下旬ごろに出回った前バージョンは、VBScriptエンジンの脆弱性を利用したものだった。今回の新バージョンでは、Webサイトを利用した攻撃によって拡散されている。
感染の流れは、ユーザーが修正プログラムを適用していない環境から問題のあるWebサイトにアクセスすると、Windows PowerShellを非表示で開いてC++ランタイムDLLに偽装した不正なDLL「mfcm14u.dll」を実行。このDLLはSLUBのローダーで、アーキテクチャがx86であるかx64であるかをチェックして、それに合わせた感染行動を取る。
新バージョンは、感染したPCを管理してコマンドを送信するためにSlackを悪用。Slackにワークスペースと専用チャンネルを作成し、C&C通信に利用する。なお、SLUBによって作成されたワークスペースは、Slackによってすでに停止されているとのこと。
今回のバージョンは、セキュリティソフトのふるまい検知と機械学習による検出を回避する機能を持っているので厄介。罠を仕掛けたWebサイトにて、訪れたユーザーを監視することが目的と推測されている。今のところ広範囲の拡散ではなく、被害規模も小さいとしている。
イオンスクエアメンバーにパスワードリスト攻撃
イオンドットコムは7月11日、イオンクレジットカードの会員向けWebサービス「イオンスクエアメンバー」において、なりすましによる不正ログインが行われたと発表した。
不正ログインが確認された期間と件数は、2019年5月28日~6月1日の期間で323件。この323件のうち、10件のアカウントが不正アクセスされ、メールアドレス、氏名、住所、電話番号、生年月日、性別、保有WAON POINTが閲覧されていた。また、6月22日にも78件の不正ログインが確認されているが、情報流出はない。今回の攻撃はパスワードリスト攻撃によるものとされている。