6月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

○Zoomのインストーラを偽装したバックドア「Devil Shadow」に注意

トレンドマイクロのセキュリティブログによると、ミーティングアプリ「Zoom」のインストーラを偽装したファイルが発見された。偽インストーラは2種類存在する。

1つは、リモートで不正活動を実行するためのバックドア型マルウェアをインストールするもの。この偽インストーラは、インストール時に実行中のすべてのリモートユーティリティを強制終了し、外部からのリモートアクセスを受けるためにポートとプロトコルを開放。レジストリに対してバックドアの追加を行う。インストールが完了すると、バックドアを利用していつでも任意のコマンドが実行できるようになる。

もう1つは、「Devil Shadow(デビルシャドウ)」と呼ばれるボットをインストールするもの。不正なコマンドが含まれたファイルが存在し、C&Cサーバーへのアクセスや活動持続化のためのファイルなども含まれる。偽インストーラを実行すると、合わせて正規インストーラも実行するため、ユーザーも怪しいインストールに気づかない可能性が高い。

これらの偽インストーラは、公式ではなく不審なWebサイトで配布が行われていた。Zoomに限ったことではないが、アプリはできる限り公式サイトからダウンロードすることだ。
○国税庁、Chrome拡張機能「e-Tax受付システムAP」をバージョンアップ

国税庁は、Chrome拡張機能として提供している「e-Tax受付システムAP」に脆弱性があることを明らかにした。対象のバージョンは1.0.0.0。

脆弱性は、第三者が細工したパラメータを与えてCOMオブジェクトを操作することで、任意のコマンドが実行できるというもの。e-Tax受付システムを、Google ChromeもしくはChromiumベースのMicrosoft Edgeで利用する場合に発生する。

すでに国税庁は、セキュリティ強化の修正を実施。e-Tax受付システムAPをインストールしている場合は、「Chromeウェブストア」からバージョンアップを行うように。
○App Storeに「VPNアプリ」を偽装した詐欺アプリ

アヴァストは、「フリースウェア」と見られる3種類のアプリをAppleのApp Store上で発見したと発表。

フリースウェアとは、ユーザーに不当な利用料金を請求しながら、実際にはサービスを提供しないソフトウェアのこと。今回判明したアプリは、「Beetle VPN」「Buckler VPN」「Hat VPN Pro」の3種類。App Storeで販売しており、2019年4月〜2020年5月までの期間に、Beetle VPNが420,000回、Buckler VPNが271,000回、Hat VPN Proが96,000回、ダウンロードされている。

これらのアプリは、3日間の無料体験期間を設けており、それが終了すると1週間のサブスクリプション契約となる。料金は9.99米ドル。レビューには高評価が並ぶが、文体が似通っていることから偽レビューの可能性が高い。

アヴァストは、これらのアプリでVPNを使用できるか検証。結果、サブスクリプションを促す選択肢しか表示されず、どのアプリでもVPN接続は確立できなかったという。

こうしたフリースウェアアプリを見破るのはなかなか難しいが、アプリストア内のレビューだけでなく、コミュニティサイトなどを探して情報を集めるとよい。だまされると継続的にお金を払うことになってしまう。
○楽天を騙る巧妙なフィッシングメール

6月25日の時点で、楽天を騙るフィッシングメールが拡散している。メールの件名は以下の通り。

[重要なお知らせ] 年次本人確認 [ID0045-99045●●●●]

メールでは本人確認などを装い、偽の楽天アカウントへのサインインを促してくる。リンク先はフィッシングサイトで、アカウント情報以外にも、マイナンバーカード、運転免許証、パスポート、クレジットカード、居住証明書の画像を窃取しようとしてくる。

6月25日の時点でフィッシングサイトは稼働中。類似のフィッシングサイトが公開の可能性もあるので警戒を怠らないこと。
○パナソニック、Video Insight VMSに脆弱性

パナソニックの映像セキュリティシステム向け管理ソフト「Video Insight VMS」に複数の脆弱性が見つかった。対象は7.6.1より前のバージョン。

脆弱性は、任意のコード実行とSQLインジェクション。任意のコード実行では、製品がインストール済みのサーバー上で、第三者によって任意のコード実行の可能性がある。SQLインジェクションでは、ログインしたユーザーによって、データベースに対して任意のSQL文実行の可能性がある。

なお、任意のコード実行は2020年5月19日に収税済み、SQLインジェクションは2019年9月2日に修正済みだが、修正が不十分だったことから新たに最新バージョンを公開した。