カスペルスキーは2月25日、加Absolute Softwareが販売している正規の情報盗難対策ソフトウェアに実装の問題があり、サイバー犯罪者の強力なユーティリティになりうることを確認したレポートを発表した。
この実装の問題は、何百万ものコンピューターへのフルアクセス権限を、攻撃者に与える可能性がある。今回の調査は、最新のノートブックPCやデスクトップのファームウェア/BIOSに常駐するAbsolute Computraceエージェントに重点を置いて行われた。
このプロジェクトは、Kaspersky Labリサーチャーの私物のコンピュータや社有コンピュータの一部にAbsolute Computraceエージェントが発見されたことをきっかけとして実施された。Absolute Computraceは、Absolute Softwareが開発した合法的な製品だが、このエージェントは事前に承諾を得ることなく実行されていた。
このソフトウェアをインストールしたり有効にしたりした覚えがない、ソフトウェアの存在すら知らないというユーザーも多い。また、一般にプリインストールソフトウェアパッケージの大半は、ユーザーが削除したり無効化することができるが、Computraceはプロによるシステムのクリーンアップやハードディスク交換にすら耐えられるように設計されている。
Computraceは、アンチデバッグやアンチリバースエンジニアリング技術、他プロセスのメモリーへの侵入、秘密通信の確立、ディスク上のシステムファイルへのパッチ適用、構成ファイルの暗号化、BIOS/ファームウェアからのWindows実行可能ファイルのドロップなど、最新のマルウェアでよく見られるさまざまな手法を使うため、ユーザーがComputraceを悪意のあるソフトウェアと間違える可能性もある。
Kaspersky LabのGlobal Research and Analysis Team(GReAT)主席セキュリティリサーチャーであるヴィタリー・カムリュク(Vitaly Kamluk)氏は、「光ファイバー網を盗聴する能力を持つ強力な攻撃者が、Absolute Computraceが稼働しているコンピューターを乗っ取る可能性がある。このソフトウェアを使って、スパイウェアを移植できるのだ。推計では、Absolute Computraceソフトウェアが実行されているコンピューターは数百万台にのぼり、そのユーザーの多くはこのソフトウェアが有効化され、実行されていることに気づいていないのではないかと思われる。誰が何のために、これらのコンピューターでComputraceを有効にしたのだろう。正体不明の攻撃者が監視しているのだろうか。これは解明しなければならない謎である」と警告を発している。
Kaspersky Security Networkによると、Computraceエージェントが実行されているマシンを使っているユーザーは約15万人にのぼる。有効化されたComputraceエージェントを持つユーザーの総数は、200万人を超えると推定されている。このうち、どのくらいのユーザーがComputraceが実行されていることを知っているかは判明していない。このようなコンピューターの大半は、米国とロシアに存在している。
Computrace Small Agentの使用するネットワークプロトコルは、リモートコードの実行に使える基本的な機能を提供している。このプロトコルは、リモートサーバーの暗号化や認証の使用を要求しないため、悪意のあるネットワーク環境では、多数のリモート攻撃のチャンスが生み出される。
発表によれば、現在のところAbsolute Computraceが攻撃用プラットフォームとして使われているという証拠は発見されていない。しかし、数社のセキュリティエキスパートは攻撃の可能性があると見ている。