みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

トップ > 脆弱性情報 > Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェア攻撃に悪用された件

Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェア攻撃に悪用された件

脆弱性情報 サイバーセキュリティ インシデント ランサムウェア マルウェア

Windows向けiTunesおよびiCloudのゼロディ脆弱性ランサムウェアBitPaymerを使った攻撃に悪用された事が確認されました。

本件に関して、発見者であるイスラエル発のセキュリティ企業Morphisec Labsより情報が公開されています。

blog.morphisec.com

上記の情報では、iTunesに関してのみ述べられており、現在確認できる日本語の情報では、それ以上のことは述べられていません。

ただ、Appleの公式情報からも、iCloudに関しても、同様のアップデートが反映されていることが読み取れますので、iTunesと同様にして、確実に対応すべきだと判断し、記載します。

目次

  • 対象ソフトウェアとセキュリティアップデート
  • BitPaymerとは
  • 脆弱性の概要
  • まとめ

対象ソフトウェアとセキュリティアップデート

今回対象となった脆弱性の修正バージョンはすでにAppleよりリリースされています。

About the security content of iCloud for Windows 10.7 - Apple Support

About the security content of iCloud for Windows 7.14 - Apple Support

About the security content of iTunes 12.10.1 for Windows - Apple Support

対象となるバージョンは、以下の通りなので、Windows向けiTunesおよびiCloudをお使いの方はご確認ください。

詳細は、IPA(情報処理推進機構)およびJPCERT/CCが共同運営している、JVNにも載っています。

JVNVU#90484857: 複数の Apple 製品における脆弱性に対するアップデート

BitPaymerとは

BitPaymer自体は、2017年7月ごろに、はじめて発見されたとみられています。

そして、大きな被害をもたらしたのは、今年の7月。 米国の15の組織において、感染が確認されたとのことで、この時の報告者も今回の脆弱性を発見した、Morphisecです。

blog.morphisec.com

上記の記事の公表時には、「金融、農業、工業分野など複数の産業」を狙った攻撃だとされています。

そして、これらの攻撃は、最近はやりの、サプライチェーン攻撃を手法として悪用していると、述べています。

We are aware of at least 15 organizations targeted by the threat group during this latest campaign, spanning multiple industries, including finance, agriculture and technology.Especially interesting is their targeting of a supply chain solution provider, which may be part of a deliberate propagation strategy.

サプライチェーン攻撃については、IPAのプレゼン資料をご紹介しますので、ご参考にしてください。

https://www.ipa.go.jp/files/000073868.pdf

そして、今回の公表された脆弱性は、8月にBitPaymerの被害を受けた自動車メーカーの痕跡より発見されたとMorphisecは述べています。

脆弱性の概要

脆弱性は、unquoted path vulnerabilityといわれるもので、 本来、ソフトウェアの開発において環境変数(いわゆるpath)を設定する際に、引用符で囲み損なってしまっていることが原因です。

これにより、意図的にpathの指定先を変更し、BitPaymerに向くよう誘導することができてしまいます。

記事中では、この脆弱性の悪用によって、アンチウィルスによる検知を回避し、"Program"と名前を偽ったBitPaymerが実行されてしまう様子が示されています。

https://blog.morphisec.com/hs-fs/hubfs/Blog_images/1-Q3-2019/applevuln2.png?width=913&name=applevuln2.png

なお、本脆弱性は、BonjourというAppleが使用するコンポーネントに含まれるものだとのことです。

そして厄介なのは、このBonjourというコンポーネントは、ソフトウェアのインストール時に自身を実行するよう、定期実行プロセスに追加されてしまう点です。

そのため、たとえiTunesiCloudをアンインストールしても意図的に、Bonjourを削除しないと残ってしまうので、過去に一度でもiTunesiCloudWindows版を使ったことがある場合は、必ず対策をとることをお勧めします。

具体的には、Bonjourコンポーネント自体を手動で削除するか、最新版のiTunesおよびiCloudをインストールし直すことをお勧めします。

まとめ

業務用でiTunesWindowsに落とすことはあまりない気がしますが、iCloudWindowsに落とすことはあるような気もします。

BitPaymer自体、そもそも標的型攻撃に使われたと、見解を述べている情報も複数見当たるので、思い当たる節がある管理者の方、個人の方は、入念な確認をお勧めします。