Chromeの「偽アップデート」のダウンロードを中止せよ 米FBIが警告
Windowsを使用している場合、多くのユーザーは既定のブラウザーとしてChromeを利用している。マイクロソフトはユーザーに「Edge」(エッジ)への移行を促し続けており、28日に発表したAI関連機能「Copilot Mode」を用いることで、AIブラウザーとして生まれ変わろうとしているが、グーグルのブラウザーは依然として支配的だ。
しかしChromeはその成功ゆえの犠牲になっている。攻撃者はユーザーがChromeをインストールしている可能性が高いことを知っているため、侵入方法さえ見つければPCやデータへの絶好の入り口となる。そのため、ゼロデイ脆弱性に関する警告や緊急アップデートが続いている。FBIが偽のChromeアップデートによる重大な脅威を警告しているのもそのためである。
今回の最新警告は、FBIとアメリカのサイバー防衛機関であるCISA(シーサ)から出されたもので、さまざまなランサムウェアの亜種や脅威アクターの詳細をネットワーク防衛担当者に知らせるために勧告を発表する、継続的な「#StopRansomware(ストップランサムウェア)活動」の一環と位置付けられている。
■「Interlock」ランサムウェアによる攻撃は、偽のChromeアップデートを利用
米国時間7月22日に発表された最新の勧告は、最近急増しているInterlock(インターロック)ランサムウェア攻撃を対象としている。勧告の大部分は企業ネットワークの保護やITポリシーの施行を担う人々向けだが、PCユーザーへの警告も含まれている。
ランサムウェア攻撃には「初期侵入」と呼ばれる侵入経路が必要である。雇用主のネットワークに接続されたPCやスマートフォンを持っているなら、それはあなたが標的になり得ることを意味する。勧告では、組織に対して、ユーザーにソーシャルエンジニアリング攻撃を見抜く訓練を施すよう求めている。
Interlockの場合、こうした初期侵入の手段が2つあり、それらは攻撃者が個人アカウントや端末上のデータ、セキュリティ資格情報を狙う際に用いている誘い文句と同じものである。これらは常に警戒すべきだ。
1つ目の手法はClickFix(クリックフィックス)と呼ばれ、比較的見分けやすい。メッセージやポップアップが、Windowsコマンドにテキストを貼り付けてスクリプトを実行するよう指示してくる。技術的な問題を装ったり、開く必要がある安全なサイトやファイルを偽装してユーザーをだます。このような指示はすべて攻撃であり、無視しなければならない。
しかしFBIが主要な初期侵入手段として指摘したのは、非公式のChromeアップデートだ。「偽のグーグル・クロームの実行ファイルはリモートアクセス型トロイの木馬、つまりRAT(リモートアクセス型トロイの木馬)として機能し、PowerShellスクリプトを実行してWindowsのスタートアップフォルダーにファイルを配置する。その結果、このファイルは被害者がログインするたびにRATを実行するよう設計されている」と勧告は説明している。
アプリやアップデートは常に公式のストア・サイトからダウンロードする
偽のChromeのインストールやアップデートは、Windows PCだけでなくAndroidスマートフォンでも繰り返し問題となっている。ClickFixと同様に、対策は明確だ。メールやメッセージで送られてくるリンクを使ってアップデートやインストールを行ってはならない。アプリやアップデートは常に公式のストアやウェブサイトからダウンロードすべきである。
Chromeは自動的にアップデートをダウンロード後にインストールを行い、完了後にブラウザーを再起動するよう通知することを覚えておくべきだ。自分でアップデートを探したり、どのような経路で送られてきたものであれ、任意のリンクに従う必要はない。
セキュリティ企業ESETのジェイク・ムーアは「『アップデート』という言葉は通常セキュリティと同義ですが、この事例ではまったく逆です。ソフトウェアを最新の状態に保つことは一般的に最善の対策ですが、正当性を確認せずに盲目的にアップデートをインストールすると新たなリスクを招くことがあります」と警告している。
こうした手口でユーザーのデバイスを侵害し、企業の認証情報を盗むのはランサムウェアの一般的な侵入方法ではない。しかしInterlockは新しいものであり、昨年初めて確認されたことから、他の場所で急増している展開が容易な誘い文句を利用しているのも驚きではない。
FBIの最新のランサムウェア警告を受けて、情報保証企業NCCからやや良いニュースも届いた。「ランサムウェア攻撃は第2四半期にほぼ半減した」という。しかし、それでもこれらの攻撃は「サイバー戦争の最前線」にとどまっている。
NCCによれば、記録的な年初にもかかわらず、6月はランサムウェア攻撃が世界的に減少した4カ月目であり、371件で6%減となった。イースターやラマダンといった季節的な鈍化や、主要な攻撃者に対する法執行機関による防衛により、第2四半期全体では第1四半期から43%減少した。
■未修正の脆弱性を悪用するSharePointへの攻撃も
未修正のマイクロソフトの脆弱性を悪用する現在のSharePoint(シェアポイント)攻撃が今後数週間でこれらの数値をどう変化させるかが注目される。マイクロソフトは「Storm‑2603という名で追跡される中国に拠点を置く脅威アクターが、これらの脆弱性を悪用してランサムウェアを展開している」と警告している。
Interlockが、偽のChromeアップデートを実行するだけで、実際のブラウザーには適用されないのとは異なり、SharePoint攻撃は正規版を悪用している。「これらの攻撃手法が急速に広まっていることから、攻撃者は今後もこれを自らの攻撃に組み込み続ける可能性が高いと、当社は評価しています」とマイクロソフトは述べる。
NCCはまた、「攻撃件数の減少により、新たな脅威アクターが世界的不安定を利用する余地が生まれた。第3四半期を見据えると、活動を中断されたグループがソーシャルエンジニアリング攻撃者と連携して戻り、より高度な攻撃を行うと予想される」と指摘している。
■グーグルがChromeの公式アップデートを公開
幸いなことに、これら2つの罠を避けるのは、注意点を把握していれば容易である。その一方で、グーグルが米国時間7月22日に公表した高深刻度の修正を考慮すれば、Chromeを正式な方法でできるだけ早く更新すべきだ。
これに関して現在、連邦職員がブラウザーを更新するか使用を停止することを義務付ける、新たなCISAの更新命令が施行されている。最新の命令は、ブラウザーの3D描画関連のANGLEコンポーネントとGPUにおける不適切な入力検証の脆弱性を理由に、利用者に8月12日までにアップデートするよう警告している。
CISAは「この脆弱性により、リモート攻撃者が細工されたHTMLページを介して、セキュリティ機能の一種であるサンドボックスを突破する可能性があります」と説明し、マイクロソフトEdgeを含むChromiumプラットフォーム上で構築されたすべてのブラウザーに影響すると警告している。
前回のCISAによるChrome更新義務は、ChromeのV8エンジンに「細工されたHTMLページを介してリモート攻撃者が任意の読み書きを行える型混乱の脆弱性が含まれている」と警告した後、7月23日に期限を迎えたばかりだ。
怪しいリンクのクリックや、弱いパスワードの利用を避ける
■怪しいリンクのクリックや、弱いパスワードの利用などを避ける
CISAはこうした攻撃における人為的なミスの側面も繰り返し強調している。米国時間7月26日の投稿で同庁は「データ侵害の95%は人為的なミスが原因である。怪しいリンクをクリックしたり、弱いパスワードを使ったり、多要素認証(MFA)を省略したりすることがそれに当たる」と警告した。偽のChromeアップデートの更新やインストールもそうした原因リストの上位に入る。
ムーアは「Windowsユーザーは警戒を続けるべきで、安全なバージョンがグーグルからリリースされるまでアップデートを見送るか、一時的にブラウザーを切り替えることも検討すべきです。十分な情報がなければ、グーグルのような信頼されている巨人でさえ脅威となり得るという大きな教訓です」と警告している。
■SharePointランサムウェアに関する警告
SharePointランサムウェア警告に伴って、連邦職員の意識を喚起するために異例の24時間更新義務が出されるなど、さらに重大な警告が発せられている。こうした新しいランサムウェア攻撃が加速している状況を考えると、すべての組織が同様の対応をとるべきだ。
Recorded Future Newsによれば、CISAは「この攻撃キャンペーンの影響を受ける可能性のある連邦機関や州機関があることを認識している」という。
一方でESETは、マイクロソフトの「中国政府に支援されたグループがこの脆弱性を悪用している」という評価を確認し、同社の遠隔測定データによれば「ToolShell(ツールシェル)攻撃の被害者には、これらのグループに長年標的とされてきた価値の高い政府機関が複数含まれている」と指摘している。
■Chromeを標的としたランサムウェアに関する警告
FBIが指摘したChromeを標的とした現実的なランサムウェア脅威について、ESETのムーアは以下のように警告している。「現在、攻撃者が巧妙な偽のChromeアップデートを大量に配信している状況では、ITチームは企業の管理対象デバイスでの自動Chromeアップデートを一時的に停止することも検討すべきです。これは、ユーザーが正規のアップデートに慣れてしまい、偽のアップデート通知に対する警戒心が薄れることを防ぐためです。こうしておけば、この期間中に届くアップデート通知は偽物と判断でき、異常をより容易に発見できます。攻撃キャンペーンが沈静化するまでの一時的な措置として、すべてのアップデートの出所と内容を人間が確認することで、より確実な防御が可能になるのです」。
