Kaspersky Lab のセキュリティリサーチチームは、Absolute Software 社が販売している正規の情報盗難対策ソフトウェアがその実装の弱さによってサイバー犯罪者の強力なユーティリティになりうることを確認したレポートを発表しました。
本リリースは、2014 年 2 月 12 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab のセキュリティリサーチチームは、Absolute Software 社が販売している正規の情報盗難対策ソフトウェアがその実装の弱さによってサイバー犯罪者の強力なユーティリティになりうることを確認したレポートを発表しました。
この劣った実装は、何百万ものユーザーコンピューターへのフルアクセス権限を、攻撃者に与える可能性を秘めています。今回の調査は、最新のラップトップやデスクトップのファームウェアおよび PC ROM BIOS に常駐する Absolute Computrace エージェントに重点を置いて行われました。
Kaspersky Lab リサーチャーの私物のコンピューターや社有コンピューターの一部で Absolute Computrace エージェントが発見されたことをきっかけに、今回の調査プロジェクトが実施されました。Absolute Computrace は Absolute Software が開発した合法的な製品ですが、このエージェントは事前に承諾を得ることなく実行されていました。このソフトウェアをインストールしたり有効にした覚えがない、さらにソフトウェアの存在すら知らないというシステム所有者も多くみられます。また、一般にプリインストールソフトウェアパッケージの大半は、ユーザーが削除したり無効化することができますが、Computrace はプロによるシステムのクリーンアップやハードディスク交換にすら耐えられるように設計されています。
Computrace は、アンチデバッグやアンチリバースエンジニアリング技術、他プロセスのメモリーへの侵入、秘密通信の確立、ディスク上のシステムファイルへのパッチ適用、構成ファイルの暗号化、BIOS/ファームウェアからの Windows 実行可能ファイルのドロップなど、最新のマルウェアでよく見られるさまざまな手法を使うため、ユーザーが Computrace を悪意のあるソフトウェアと間違える可能性もあります。
Kaspersky Lab の Global Research and Analysis Team (GReAT)主席セキュリティリサーチャー、ヴィタリー・カムリュク (Vitaly Kamluk) は以下の様に警告しています。「光ファイバーを盗聴する能力を持つ強力な攻撃者が、Absolute Computrace が稼働しているコンピューターを乗っ取る可能性があります。このソフトウェアを使って、スパイウェアを移植できるのです。推計では、Absolute Computrace ソフトウェアが実行されているコンピューターは数百万台にのぼり、そのユーザーの多くはこのソフトウェアが有効化され、実行されていることに気づいていないのではないかと思われます。誰が何のために、これらのコンピューターすべてで Computrace を有効にしたのでしょう?正体不明の攻撃者が監視しているのでしょうか?これは解明しなければならない謎です。」
統計
- Kaspersky Security Network によると、Computrace エージェントが実行されているマシンを使っているユーザーは約 15 万人です。有効化された Computrace エージェントを持つユーザーの総数は 200 万人を超えると推定されます。このうち、どのくらいのユーザーが Computrace が実行されていることを知っているかは判明していません。
- このようなコンピューターの大半は、米国とロシアにあります。
セキュリティ上の不具合
Computrace Small Agent の使用するネットワークプロトコルは、リモートコードの実行に使える基本的な機能を提供しています。このプロトコルは、リモートサーバーの暗号化や認証の使用を要求しないため、悪意のあるネットワーク環境では、リモート攻撃のチャンスが多数、生み出されます。
攻撃プラットフォーム
今の所、Absolute Computrace が攻撃用プラットフォームとして使われているという証拠は発見されていません。しかし、数社のエキスパートは、攻撃の可能性はあると見ています。Computrace が許可なく有効化されているという、説明のつかない驚くべき事実により、これはますます現実味を帯びてきます。
2009 年、Core Security Technologies の研究グループは、Absolute Computrace に関する調査結果を発表しました。同グループは、このテクノロジーの危険性を警告し、攻撃者がどのようにシステムレジストリを改ざんして Computrace からのコールバックをハイジャックするかを明らかにしています。Computrace Agent が過去にマルウェアとして検知された理由は、その強引なふるまいです。Microsoft が Computrace を VirTool:Win32/BeeInject として検知したというレポートもあります。それにもかかわらず、後に Microsoft や一部のアンチマルウェアベンダーは、この検知の事実を削除しています。現在、ほとんどのアンチマルウェア企業が Computrace の実行可能ファイルをホワイトリストに登録しています。
ヴィタリー・カムリュク(Vitaly Kamluk)は、以下の様に締めくくっています。「Absolute Computrace ソフトウェアのような強力なツールを世の中の役立つものにするには、認証と暗号化メカニズムの使用が必要です。もし、多数のコンピューターで Computrace エージェントが実行されているのなら、このソフトウェアが有効になっていることをユーザーに通知し、これを停止、無効化する方法を説明するのがメーカー(この場合は Absolute Software)の責任です。そうしなければ、これらの独立したエージェントは誰にも気づかれずに実行を続け、リモートでぜい弱性攻撃に使用される可能性が高まるでしょう。」
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
