Windows Updateをマルウェアが悪用

Windowsの自動更新機能を悪用し、ファイアウォールに妨げられることなく悪質ファイルをダウンロードしてしまうマルウェアが現れた。

» 2007年05月11日 10時00分 公開
[ITmedia]

 Windowsの自動更新に使われるWindows Updateを悪用し、ファイアウォールをすり抜けてしまうマルウェアが現れた。セキュリティ企業のSymantecが5月10日のブログで報告している。

 Symantecによると、ドイツで3月末にスパムメールでばら撒かれたトロイの木馬を研究者が分析したところ、Windowsの「Background Intelligent Transfer Service」(BITS)というコンポーネントを使ってファイルをダウンロードする機能を持つことが分かった。

 BITSはWindows UpdateでパッチをダウンロードしてOSを最新状態に保つために使われているサービス。バックグラウンドで動作して、ネットワークの帯域幅を消費することなくパッチや更新ファイルをダウンロードする。

 ところがHTTPをサポートし、COM API経由でプログラムできるBITSの機能を逆手に取ると、マルウェアのファイルをWindowsにダウンロードさせることもできてしまうという。

 BITSサービスはOSの一部であるため信頼できるものとみなされ、ファイアウォールに妨げられることなくファイルをダウンロードさせることが可能になる。今回見つかったトロイの木馬はCOMインタフェース経由でBITSコンポーネントにアクセスし、ファイルの設定を行っていたという。

 BITSでダウンロードすべきものとすべきでないものをチェックするのは容易でなく、現時点でこの種の攻撃をかわす手段はないとSymantecは解説。高い権限でしかBITSインタフェースにアクセスできないように設計するか、BITSのダウンロードを信頼できるURLのみに限定すべきかもしれないと指摘している。

 アンダーグラウンドではBITSダウンロードの手口について解説した文書が出回っており、2006年末のロシアのフォーラムでも紹介されたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ