メッセージアプリ「Telegram」の脆弱性突く攻撃、「右から左」に読むテキスト表示機能を悪用

例えば「gnp.js」というマルウェアのファイル名を逆向きに表示すれば、「sj.png」という画像ファイルに見せかけることができてしまう。

[鈴木聖子，ITmedia]

　ロシアのセキュリティ企業Kaspersky Labは2月13日、仮想通貨ユーザーの間で人気のメッセージアプリ「Telegram」に存在する未解決の脆弱性が悪用されていたことが分かったと伝えた。この攻撃では、テキストを右から左へ表示するUnicodeの仕組みが悪用されていたという。

　Kasperskyのブログによると、Telegramの脆弱性を突く攻撃は、2017年10月にWindowsクライアントで報告された。利用されていたのは、アラビア語など特定の言語で使われる右から左への横書きに対応する目的で、テキストの流れを逆向きに表示する「Right to Left Override」（RLO）という仕組みだった。

　不正なメッセージでは、この仕組みを使ってファイル名を逆向きに表示し、ユーザーをだまそうとしていた。例えばJavaScript（.js）ファイルを使ったマルウェア「gnp.js」のファイル名を逆向きに表示すれば、「sj.png」という画像ファイルに見せかけることができてしまう。ただしWindowsでは、このファイルを開こうとするとセキュリティ警告が表示される。

画像にある「photo_high_resj.png」というファイルだが、右から読むと「gnp.js...」となる。れっきとしたJavaScript（.js）ファイルを使ったマルウェアだ（出典：Kaspersky Lab）

Windowsで開こうとすると、JavaScriptファイルであることが分かる（出典：Kaspersky Lab）

　ユーザーがこの手口にだまされてマルウェアに感染すると、攻撃者にシステムを制御され、バックドアやキーロガーといった別のマルウェアが知らないうちに呼びこまれてしまう。「Monero」などの仮想通貨を採掘するマルウェアも仕込まれているのが見つかった。

　Kasperskyが調べたところ、Windowsクライアントでは2017年3月以来、この脆弱性が悪用されていたことが分かった。これまでのところ、攻撃はロシアのみで発生していて、ロシアの犯罪集団の関与がうかがわれると分析している。

　脆弱性が存在していたTelegramのバージョンなどは分かっていない。Kasperskyからの通報を受け、現在のTelegramではこの脆弱性は悪用されなくなったと同社は伝えている。