Windows Server 2003で更新プログラムのインストールに使われていた「ホットパッチ」機能を悪用したサイバースパイ攻撃が初めて確認された。
米MicrosoftのWindowsでかつて使われていた更新プログラムのインストール機能「ホットパッチ」を悪用する手口が初めて見つかったとして、Microsoftが4月26日のブログで報告した。この手口を使う集団は主にマレーシアや中国などの政府機関や防衛産業、情報機関、通信事業者に狙いを定め、何年も検出されないままサイバースパイ活動を続けているという。
Microsoftによると、ホットパッチはシステムを再起動せずに更新プログラムをインストールする目的で、過去にサポートされていたOS機能。管理者権限を必要とするものの、プロセスの実行中にユーザーに意識させないままパッチをインストールできる。
しかしこの仕組みを悪用すれば、セキュリティ製品による検出を免れることができる。この手口について理論上は指摘されていたものの、実際の攻撃に使われていることが確認されたのは初めてだという。Microsoftはこの集団をコードネーム「PLATINUM」と命名した。
ホットパッチを悪用する手口は2016年1月にマレーシアで最初に確認された。PLATINUMはホットパッチAPIを使って標的とする組織のネットワークにバックドアを仕込み、長期にわたって検出されることなく執拗なアクセスを繰り返していたという。
さらに詳しく調べた結果、PLATINUMは2009年ごろから活動を活発化させ、主に南アジアや東南アジアの企業を標的としていたことが分かった。
ホットパッチの機能はWindows Server 2003に搭載され、10件の更新プログラム配信に使われたという。一方、Windows 10に対してはこの手口は通用しないとMicrosoftは強調している。
Copyright © ITmedia, Inc. All Rights Reserved.