Windows Updateが偽装される不安は常につきまといます。あらゆるWindowsユーザーが利用するサービスだけに、もし偽装された場合の被害は想像もつきません。
Windows Updateの偽サイト出現
2005年(平成17年)4月7日、Windows Updateを装った偽装サイトが見つかりました。問題のサイトは韓国にあるようです。
偽サイトのページには、不正プログラムと見られるアップデート・ファイルへのリンクがあります。画面には、Express InstallとCustome Installの2種類のリンクがあり、どちらも、クリックするとWupdate-20050401.exeという実行形式のファイルをダウンロードするようになっています。
実行ファイルの内容は不明ですが、キー・ロギングを実行したりhostsファイルを書き換えたりするスパイウエアや、ウイルス/ワームである可能性が高いようです。
セキュリティ各社は、このサイトへ誘導するフィッシングメールが流れているとみて、全世界へ注意を呼びかけています。
偽サイトのページには、不正プログラムと見られるアップデート・ファイルへのリンクがあります。画面には、Express InstallとCustome Installの2種類のリンクがあり、どちらも、クリックするとWupdate-20050401.exeという実行形式のファイルをダウンロードするようになっています。
実行ファイルの内容は不明ですが、キー・ロギングを実行したりhostsファイルを書き換えたりするスパイウエアや、ウイルス/ワームである可能性が高いようです。
セキュリティ各社は、このサイトへ誘導するフィッシングメールが流れているとみて、全世界へ注意を呼びかけています。
DNSポイズニング
この偽装サイトは、おそらくフィッシングの一種であり、対応を間違うことがなければ問題は発生しません。
しかし、Windows Updateにまつわる不安で最も恐ろしいものは、"windowsupdate.microsoft.com"というドメインそのものが改竄された場合です。
私たちがインターネットにアクセスする場合、通常、"windowsupdate.microsoft.com"という分かりやすい文字で記述されたドメイン名を入力します。すると、ネット上にあるDNS(ドメイン・ネーム・サーバ)が、ドメイン名をIPアドレスに変換し、そのIPアドレスを持つサーバに接続してくれます。
ところが、DNSに攻撃を仕掛け、不正なIPアドレスに接続させてしまう DNSポイズニングが最近目立ってきています。
DNSポイズニングは、DNSのセキュリティ・ホールを狙って攻撃を仕掛けてきます。世界中には数え切れないほどのDNSがあるため、中にはきちんとパッチを当てていないDNSもあるのです。また、Windows NT/2000でDNSポイズニングの攻撃を受けやすいことも気にかかります。
ここで、"https:"で始まる暗号化プロトコルを施している場合は、たとえ偽装サイトに接続されたとしても、正しくセキュリティがかからない(IEであれば、ブラウザの右下に鍵マークが出ない)ので、偽装サイトであることを識別できます。
けれども、2005年(平成17年)4月時点では、"windowsupdate.microsoft.com"は暗号化プロトコルに対応していません。これは、Windows Updateを提供するサーバが全世界に分散しているため、マイクロソフトとしても一斉に暗号化プロトコルに対応させるのが難しいためと言われています。
万が一、Windows Updateドメインに対するDNSポイズニングが発生した場合、我々としては打つ手がないことになります。
現在、Windows Updateは新しいシステムに移行すべく、テストを開始しています。この新しいシステムがDNSポイズニングに対抗できるものであることを期待しましょう。
しかし、Windows Updateにまつわる不安で最も恐ろしいものは、"windowsupdate.microsoft.com"というドメインそのものが改竄された場合です。
私たちがインターネットにアクセスする場合、通常、"windowsupdate.microsoft.com"という分かりやすい文字で記述されたドメイン名を入力します。すると、ネット上にあるDNS(ドメイン・ネーム・サーバ)が、ドメイン名をIPアドレスに変換し、そのIPアドレスを持つサーバに接続してくれます。
ところが、DNSに攻撃を仕掛け、不正なIPアドレスに接続させてしまう DNSポイズニングが最近目立ってきています。
DNSポイズニングは、DNSのセキュリティ・ホールを狙って攻撃を仕掛けてきます。世界中には数え切れないほどのDNSがあるため、中にはきちんとパッチを当てていないDNSもあるのです。また、Windows NT/2000でDNSポイズニングの攻撃を受けやすいことも気にかかります。
ここで、"https:"で始まる暗号化プロトコルを施している場合は、たとえ偽装サイトに接続されたとしても、正しくセキュリティがかからない(IEであれば、ブラウザの右下に鍵マークが出ない)ので、偽装サイトであることを識別できます。
けれども、2005年(平成17年)4月時点では、"windowsupdate.microsoft.com"は暗号化プロトコルに対応していません。これは、Windows Updateを提供するサーバが全世界に分散しているため、マイクロソフトとしても一斉に暗号化プロトコルに対応させるのが難しいためと言われています。
万が一、Windows Updateドメインに対するDNSポイズニングが発生した場合、我々としては打つ手がないことになります。
現在、Windows Updateは新しいシステムに移行すべく、テストを開始しています。この新しいシステムがDNSポイズニングに対抗できるものであることを期待しましょう。
Windows Updateを悪用したマルウェア出現
セキュリティ・ベンダーのSymantecは、MicrosoftのWindows Updateサービスのファイル転送コンポーネント「Background Intelligent Transfer Service(BITS)」を悪用して、ファイアウォールを越えて悪意のあるコードをダウンロードさせるハッキング手法が使われていることを報じました。
BITSはMicrosoftのWindows Updateサービスで使われていますが、他のプログラムから呼び出すことも可能な仕様になっています。一部のトロイの木馬はBITSを呼び出し、さらに悪意のあるマルウェアをダウンロードさせたり、PCの情報をネット上にアップロードさせることができるといいます。OSの正規機能であるBITSを通過するため、ファイアウォールでもチェックできないからです。
Symantecは、BITSはOSの一部であるため、これを悪用してダウンロードされるものをチェックするのは容易なことではないとしており、Microsoft へ対策を提言しています。いまのところ、Microsoft からのコメントは出ていません。
なお、Windows Update 自体には問題はないということです。
さらに、2007年(平成19年)4月末から5月初旬にかけて、Windows Update や Microsoft Update を実施すると、パソコンがハングアップする(CPU利用率が100%近くに達する)利用者が増えています。
これはマルウェアなどではなく、Windows Updateの仕様自体に問題があるようです。現在、Microsoftで対策が検討されています。
BITSはMicrosoftのWindows Updateサービスで使われていますが、他のプログラムから呼び出すことも可能な仕様になっています。一部のトロイの木馬はBITSを呼び出し、さらに悪意のあるマルウェアをダウンロードさせたり、PCの情報をネット上にアップロードさせることができるといいます。OSの正規機能であるBITSを通過するため、ファイアウォールでもチェックできないからです。
Symantecは、BITSはOSの一部であるため、これを悪用してダウンロードされるものをチェックするのは容易なことではないとしており、Microsoft へ対策を提言しています。いまのところ、Microsoft からのコメントは出ていません。
なお、Windows Update 自体には問題はないということです。
さらに、2007年(平成19年)4月末から5月初旬にかけて、Windows Update や Microsoft Update を実施すると、パソコンがハングアップする(CPU利用率が100%近くに達する)利用者が増えています。
これはマルウェアなどではなく、Windows Updateの仕様自体に問題があるようです。現在、Microsoftで対策が検討されています。
GOM Playerのアップデートでウイルス感染の恐れ
2014年(平成26年)1月、セキュリティ企業のラックは、GOM Player起動時に製品のアップデートを実行した際、アップデートプログラムを装ったウイルスに感染し、外部からの遠隔操作が行われる状況になっていたと指摘しました。これを受け、グレテックジャパンはGOM製品のアップデートサービスを一時中止しました。
今回の攻撃では、正規サイトではなく攻撃者が用意した踏み台サイトに転送され、踏み台サイトからウイルスがダウンロードされ感染する仕組みになっていたということです。
踏み台サイトに転送された仕組みは特定されていませんが、前述のDNSポイズニングのような通信経路内での改ざんか、接続がリダイレクトされるよう正規サイトが改ざんされたといったことが考えられるといいます。
今回の攻撃では、正規サイトではなく攻撃者が用意した踏み台サイトに転送され、踏み台サイトからウイルスがダウンロードされ感染する仕組みになっていたということです。
踏み台サイトに転送された仕組みは特定されていませんが、前述のDNSポイズニングのような通信経路内での改ざんか、接続がリダイレクトされるよう正規サイトが改ざんされたといったことが考えられるといいます。
参考サイト
- ファーミング:なりすましサイトにご用心(ぱふぅ家のホームページ)
- 「GOM Player」のマルウェア感染問題、期間を特定(ITmedia,2014年(平成26年)1月24日)
- 原因はDNSの書き換え?悪質なサイトへ誘導される(ITpro)
- Windows Updateのファイル転送を悪用する新手のハッキング手法が登場(OTP)
- Windows Updateをマルウェアが悪用(ITmedia)
(この項おわり)
