Windows Server 2003の機能を悪用する攻撃、初の確認
Windows Server 2003で更新プログラムのインストールに使われていた「ホットパッチ」機能を悪用したサイバースパイ攻撃が初めて確認された。
米MicrosoftのWindowsでかつて使われていた更新プログラムのインストール機能「ホットパッチ」を悪用する手口が初めて見つかったとして、Microsoftが4月26日のブログで報告した。この手口を使う集団は主にマレーシアや中国などの政府機関や防衛産業、情報機関、通信事業者に狙いを定め、何年も検出されないままサイバースパイ活動を続けているという。
Microsoftによると、ホットパッチはシステムを再起動せずに更新プログラムをインストールする目的で、過去にサポートされていたOS機能。管理者権限を必要とするものの、プロセスの実行中にユーザーに意識させないままパッチをインストールできる。
しかしこの仕組みを悪用すれば、セキュリティ製品による検出を免れることができる。この手口について理論上は指摘されていたものの、実際の攻撃に使われていることが確認されたのは初めてだという。Microsoftはこの集団をコードネーム「PLATINUM」と命名した。
ホットパッチを悪用する手口は2016年1月にマレーシアで最初に確認された。PLATINUMはホットパッチAPIを使って標的とする組織のネットワークにバックドアを仕込み、長期にわたって検出されることなく執拗なアクセスを繰り返していたという。
さらに詳しく調べた結果、PLATINUMは2009年ごろから活動を活発化させ、主に南アジアや東南アジアの企業を標的としていたことが分かった。
ホットパッチの機能はWindows Server 2003に搭載され、10件の更新プログラム配信に使われたという。一方、Windows 10に対してはこの手口は通用しないとMicrosoftは強調している。
関連記事
- 古いAndroidは「XP状態」、ランサムウェア感染攻撃を確認
「Android 4.xを搭載した端末の多くはWindows XPを搭載したPCと同じ状態」と専門家は解説する。 - 「APT」攻撃に備えるガイドが公開、検知ポイントも解説
JPCERT/CCが高度なサイバー攻撃の脅威に企業が対応するガイドを公表した。従来は重要インフラ企業などに提供していたが、周知の必要性が高まったことで公表に踏み切った。 - Mac OS初のランサムウェア出現 Appleは対処済みだが「Transmission」ユーザーは確認必須
Mac OS X初のランサムウェア(身代金要求型の不正プログラム)が発見された。オープンソースのBitTorrentクライアントアプリ「Transmission」のMac版バージョン2.90が感染していたので、同アプリのユーザーは対処が必要だ。 - イスラエル電力公社、大規模なサイバー攻撃で「マヒ状態」に
イスラエル電力公社が「これまで経験した中で最大級のサイバー攻撃」を受け、コンピュータの多くが「マヒ状態」に陥っているという。 - ランサムウェアに標的型攻撃化の兆し、脆弱な企業システムは蜜の味?
ランサムウェアが採算の取れるビジネスモデルとなった今、標的型へシフトするのは当然だという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.