サイバーセキュリティ対策企業トレンドマイクロが、8種類の異なる脆弱性を悪用し、ウェブサーバーへの感染とクリプトジャッキング(仮想通貨の無断マイニング)を行うマルウェア「ブラックスクイッド(BlackSquid)」を発見した。同社公式ブログにおいて、6月3日に掲載したレポートで明らかにした。
レポートによると、ブラックスクイッドは、ウェブサーバー、ネットワークドライブ、リムーバブルドライブを標的としており、8つの脆弱性とブルートフォース攻撃を利用し感染するという。ブルートフォース攻撃とは、アカウント・パスワードとして入力できる文字列パターンをすべて試す総当たり攻撃のこと。また現在、タイとアメリカで最も多く感染を検出したそうだ。
8つの脆弱性の内訳としては、まず米NSA製脆弱性攻撃ツール「エターナルブルー(EternalBlue)」、同じく米NSA製のバックドアツール「ダブルパルサー(DoublePulsar)」、レジェット(rejetto)製ウィンドウズ用「HTTPファイルサーバー(HFS)」の脆弱性 「CVE-2014-6287」、ウェブサーバー向けJavaプログラム動作環境アパッチトムキャット(Apache Tomcat)の「CVE-2017-12615」、ウィンドウズのショートカットファイル処理に関する「CVE-2017-8464」の5種類が挙げられている。また、中国で普及しているウェブアプリケーション開発用フレームワーク(ライブラリー)「シンクPHP(ThinkPHP)」の複数バージョンにおける3種類の脆弱性も悪用されているとした。
トレンドマイクロが取得したサンプルでは、仮想通貨モネロ(XMR)のクリプトジャッキングを行うソフトウェアをインストールしたが、将来他の仮想通貨のマイニングを行うソフトを利用する可能性もあると指摘した。
またブラックスクイッドは、ユーザー名、デバイスドライバーソフト、ディスクドライブのモデルを確認し、8つの脆弱性を抱えたソフトがサンドボックス環境で動作していることを検出した場合、感染を中止するそうだ。サンドボックスとは、ソフトの不正操作など防ぐ保護領域を設け、その中でのみソフトを動作させるというセキュリティ機構を指す。
翻訳・編集 コインテレグラフ日本版