Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェア攻撃に悪用された件
Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェアBitPaymerを使った攻撃に悪用された事が確認されました。
本件に関して、発見者であるイスラエル発のセキュリティ企業Morphisec Labsより情報が公開されています。
上記の情報では、iTunesに関してのみ述べられており、現在確認できる日本語の情報では、それ以上のことは述べられていません。
ただ、Appleの公式情報からも、iCloudに関しても、同様のアップデートが反映されていることが読み取れますので、iTunesと同様にして、確実に対応すべきだと判断し、記載します。
目次
- 対象ソフトウェアとセキュリティアップデート
- BitPaymerとは
- 脆弱性の概要
- まとめ
対象ソフトウェアとセキュリティアップデート
今回対象となった脆弱性の修正バージョンはすでにAppleよりリリースされています。
About the security content of iCloud for Windows 10.7 - Apple Support
About the security content of iCloud for Windows 7.14 - Apple Support
About the security content of iTunes 12.10.1 for Windows - Apple Support
対象となるバージョンは、以下の通りなので、Windows向けiTunesおよびiCloudをお使いの方はご確認ください。
- iTunes 12.10.1 for Windows より前のバージョン
- iCloud for Windows 10.7 より前のバージョン
- iCloud for Windows 7.14 より前のバージョン
詳細は、IPA(情報処理推進機構)およびJPCERT/CCが共同運営している、JVNにも載っています。
JVNVU#90484857: 複数の Apple 製品における脆弱性に対するアップデート
BitPaymerとは
BitPaymer自体は、2017年7月ごろに、はじめて発見されたとみられています。
Just got sample of "Bit paymer" #ransomware. Ext ".locked" w/ marker, drops ".readme_txt" for every encrypted file. https://t.co/GvZ455idkF pic.twitter.com/prkNqB6h5H
— Michael Gillespie (@demonslay335) 2017年7月10日
そして、大きな被害をもたらしたのは、今年の7月。 米国の15の組織において、感染が確認されたとのことで、この時の報告者も今回の脆弱性を発見した、Morphisecです。
上記の記事の公表時には、「金融、農業、工業分野など複数の産業」を狙った攻撃だとされています。
そして、これらの攻撃は、最近はやりの、サプライチェーン攻撃を手法として悪用していると、述べています。
We are aware of at least 15 organizations targeted by the threat group during this latest campaign, spanning multiple industries, including finance, agriculture and technology.Especially interesting is their targeting of a supply chain solution provider, which may be part of a deliberate propagation strategy.
サプライチェーン攻撃については、IPAのプレゼン資料をご紹介しますので、ご参考にしてください。
https://www.ipa.go.jp/files/000073868.pdf
そして、今回の公表された脆弱性は、8月にBitPaymerの被害を受けた自動車メーカーの痕跡より発見されたとMorphisecは述べています。
脆弱性の概要
今脆弱性は、unquoted path vulnerabilityといわれるもので、 本来、ソフトウェアの開発において環境変数(いわゆるpath)を設定する際に、引用符で囲み損なってしまっていることが原因です。
これにより、意図的にpathの指定先を変更し、BitPaymerに向くよう誘導することができてしまいます。
記事中では、この脆弱性の悪用によって、アンチウィルスによる検知を回避し、"Program"と名前を偽ったBitPaymerが実行されてしまう様子が示されています。
なお、本脆弱性は、BonjourというAppleが使用するコンポーネントに含まれるものだとのことです。
そして厄介なのは、このBonjourというコンポーネントは、ソフトウェアのインストール時に自身を実行するよう、定期実行プロセスに追加されてしまう点です。
そのため、たとえiTunesやiCloudをアンインストールしても意図的に、Bonjourを削除しないと残ってしまうので、過去に一度でもiTunesやiCloudのWindows版を使ったことがある場合は、必ず対策をとることをお勧めします。
具体的には、Bonjourコンポーネント自体を手動で削除するか、最新版のiTunesおよびiCloudをインストールし直すことをお勧めします。
まとめ
業務用でiTunesをWindowsに落とすことはあまりない気がしますが、iCloudをWindowsに落とすことはあるような気もします。
BitPaymer自体、そもそも標的型攻撃に使われたと、見解を述べている情報も複数見当たるので、思い当たる節がある管理者の方、個人の方は、入念な確認をお勧めします。