Windows Updateにまつわる不安

(1/1)
Windows Updateが偽装される不安は常につきまといます。あらゆる Windows ユーザーが利用するサービスだけに、もし偽装された場合の被害は想像もつきません。

Windows Updateの偽サイト出現

WindowsUpdateの偽装サイト
2005 年(平成 17 年)4 月 7 日、Windows Updateを装った偽装サイトが見つかりました。問題のサイトは韓国にあるようです。

偽サイトのページには、不正プログラムと見られるアップデート・ファイルへのリンクがあります。画面には、Express Install と Custome Install の 2種類のリンクがあり、どちらも、クリックすると Wupdate-20050401.exe という実行形式のファイルをダウンロードするようになっています。
実行ファイルの内容は不明ですが、キー・ロギングを実行したり hosts ファイルを書き換えたりするスパイウエアや、ウイルス/ワームである可能性が高いようです。

セキュリティ各社は、このサイトへ誘導するフィッシングメールが流れているとみて、全世界へ注意を呼びかけています。

DNSポイズニング

この偽装サイトは、おそらくフィッシングの一種であり、対応を間違うことがなければ問題は発生しません。
しかし、Windows Update にまつわる不安で最も恐ろしいものは、"windowsupdate.microsoft.com"というドメインそのものが改竄された場合です。

私たちがインターネットにアクセスする場合、通常、"windowsupdate.microsoft.com"という分かりやすい文字で記述されたドメイン名を入力します。すると、ネット上にあるDNS(ドメイン・ネーム・サーバ)が、ドメイン名を IP アドレスに変換し、その IP アドレスを持つサーバに接続してくれます。

ところが、DNS に攻撃を仕掛け、不正な IP アドレスに接続させてしまう DNS ポイズニングが最近目立ってきています。
DNS ポイズニングは、DNS のセキュリティ・ホールを狙って攻撃を仕掛けてきます。世界中には数え切れないほどの DNS があるため、中にはきちんとパッチを当てていない DNS もあるのです。また、Windows NT/2000 で DNS ポイズニングの攻撃を受けやすいことも気にかかります。

ここで、"https:"で始まる暗号化プロトコルを施している場合は、たとえ偽装サイトに接続されたとしても、正しくセキュリティがかからない(IE であれば、ブラウザの右下に鍵マークが出ない)ので、偽装サイトであることを識別できます。
けれども、2005 年(平成 17 年)4 月時点では、"windowsupdate.microsoft.com"は暗号化プロトコルに対応していません。これは、Windows Update を提供するサーバが全世界に分散しているため、マイクロソフトとしても一斉に暗号化プロトコルに対応させるのが難しいためと言われています。

万が一、Windows Update ドメインに対するDNS ポイズニングが発生した場合、我々としては打つ手がないことになります。
現在、Windows Update は新しいシステムに移行すべく、テストを開始しています。この新しいシステムがDNS ポイズニングに対抗できるものであることを期待しましょう。

Windows Updateを悪用したマルウェア出現

セキュリティ・ベンダーの Symantec は、Microsoft の Windows Update サービスのファイル転送コンポーネント「Background Intelligent Transfer Service(BITS)」を悪用して、ファイアウォールを越えて悪意のあるコードをダウンロードさせるハッキング手法が使われていることを報じました。
BITSは Microsoft の Windows Update サービスで使われていますが、他のプログラムから呼び出すことも可能な仕様になっています。一部のトロイの木馬は BITS を呼び出し、さらに悪意のあるマルウェアをダウンロードさせたり、PC の情報をネット上にアップロードさせることができるといいます。OS の正規機能である BITS を通過するため、ファイアウォールでもチェックできないからです。

Symantec は、BITSは OS の一部であるため、これを悪用してダウンロードされるものをチェックするのは容易なことではないとしており、Microsoft へ対策を提言しています。いまのところ、Microsoft からのコメントは出ていません。
なお、Windows Update 自体には問題はないということです。

さらに、2007 年(平成 19 年)4 月末から 5 月初旬にかけて、Windows Update や Microsoft Update を実施すると、パソコンがハングアップする(CPU 利用率が 100%近くに達する)利用者が増えています。
これはマルウェアなどではなく、Windows Update の仕様自体に問題があるようです。現在、Microsoft で対策が検討されています。

GOM Playerのアップデートでウイルス感染の恐れ

2014 年(平成 26 年)1 月、セキュリティ企業のラックは、GOM Player起動時に製品のアップデートを実行した際、アップデートプログラムを装ったウイルスに感染し、外部からの遠隔操作が行われる状況になっていたと指摘しました。これを受け、グレテックジャパンは GOM製品のアップデートサービスを一時中止しました。

今回の攻撃では、正規サイトではなく攻撃者が用意した踏み台サイトに転送され、踏み台サイトからウイルスがダウンロードされ感染する仕組みになっていたということです。
踏み台サイトに転送された仕組みは特定されていませんが、前述の DNS ポイズニングのような通信経路内での改ざんか、接続がリダイレクトされるよう正規サイトが改ざんされたといったことが考えられるといいます。

参考サイト

(この項おわり)
header