ウイルス

2019年3月25日、Kasperskyは、ASUS製PC向けユーティリティツール『ASUS Live Update』にマルウェアが混入していたことを発表しました。

Kasperskyによると、ASUSのサーバーにあるオリジナルの『ASUS Live Update』が、何者かによってバックドアが組み込まれたものとすり替えられていたとのこと。また、どちらも同じファイルサイズだったことから長い間発見されず、Kasperskyユーザーだけでも57,000人がバックドア入り『ASUS Live Update』をインストールしており、全世界では100万人にも上ると伝えられています。

不幸中の幸いなのが、マルウェアがターゲットとしているマシンは特定のMACアドレスを持った600台だけとのこと。ただ、具体的にどのマシンが影響を受けるかなどは発表されていないため不安は募ります。また、影響を受けないとしても、マルウェア入りのものを放っておくのはあまり気持ちの良いものではありません。

ASUS自ら、より詳細な経緯と今後の対応の発表が待たれます。

追記
ASUSが声明を発表しました。詳細は下記の記事をご覧くださいませ。

• 【ウイルス】 ASUS、『ASUS Live Update』のマルウェア混入について声明を発表

2019年3月上旬にアメリカのウースター工科大学とドイツのリューベック大学の研究者によって報告されたCPUの脆弱性『Spoiler』について、AMDが公式声明を発表しました。

AMDによると、構造の違いからAMD製品はこの問題の影響を受けないものと考えているとのこと。

元々、この脆弱性はIntel CPUのみに言及されており、かねてよりARMとAMD CPUに影響はないものとされていました。今回、AMD自らがその旨を伝えることで、改めて安全性が強調された形となりました。

アメリカのウースター工科大学とドイツのリューベック大学の研究者によって、IntelのCPUに『Spoiler』と名付けられた新たな脆弱性が見つかりました。

海外メディアのThe Registerによると、システム上のマルウェアや、Webブラウザ上の悪意のあるJavaScriptなどからこの脆弱性を悪用されると、パスワードやキー、その他のデータが抽出される危険性があるとのこと。また、この脆弱性はシリコンレベルで大幅な再設計なしに修正や緩和をすることはできないと報じられています。

影響範囲は第1世代のIntel Coreプロセッサ以降、全てのCPUが対象とされており、ARMとAMD CPUには影響はないとのことです。

『Spoiler』は2018年12月1日にIntelに報告されており、90日間の猶予期間を経て研究論文が公開されました。

(Source:Reddit 1 / 2)

GWX、覚えているでしょうか。かつてWindows7 / 8.1ユーザに対して望む・望まないに関わらず、勝手にWindows10にアップグレードして多く人や企業に迷惑をかけた悪名高きMicrosoft公式ウイルスです。

関連記事 【Win】 悲報 各所で勝手にWindows10になる現象が多発している模様 【Win】 悲報 各所で勝手にWindows10になる現象が多発している模様 2nd season 【Win】 Microsoftという企業のやり方

そんなGWXウイルスが再活動しているという報告がRedditで話題に出ています。といっても報告数は2件と非常に少ないため、今のところ大きな心配はないものと思われます。ただ、どちらもほぼ同時期(2018年7月6日～7日)に発生しているため、少々気になるところではあります。

(Source:Robert Heaton)

閲覧しているWebサイトのデザインを好みに変更できるFirefox / Chrome向けアドオン『Stylish』がスパイウェアと化していることが判明しました。

セキュリティエンジニアのRobert Heaton氏によると、Stylishを入れていると、Webサイトへのログインを可能とするトークンを含んだURLや、Cookieなどを含む全てのWebページ閲覧履歴が配信元のSimilarWebに送信されてしまい、個人の特定や情報漏洩などの危険があるとのこと。

そのため、MozillaはFirefox Add-onsから、GoogleはChromeウェブストアからStylishを削除しました。FirefoxでStylishを利用している場合には自動で無効化がされます。他のブラウザでまだ有効になっている場合は、即刻アンインストールすることを推奨いたします。

2018年3月に報告されたメモリに不正アクセスが可能な脆弱性(通称、Total Meltdown)を利用したエクスプロイトコードがGitHubに掲載されました。コード作者は自身のブログで詳しく解説もしています。

コードの内容がどういったものかは自分にはわかりませんが、GitHubのコメント欄では　「すごく簡単なコードだね」　と言われています。見る人が見れば扱いやすいコードなのかもしれません。

この脆弱性はMSの誤ったMeltdown対策によって生じたもので、2018年1～3月度の『ロールアップ』および『セキュリティのみ』の更新プログラムを適用しているWindows7 / Server 2008環境が影響を受けます。悪用が心配されますが、下記の更新プログラムにて既に修正済みです。

• 2018年3月末に公開された緊急アップデートKB4100480
• 2018年4月度のロールアップKB4093118、もしくはそれ以降のロールアップ
• 2018年4月度のセキュリティのみKB4093108

これらのいずれかを適用していればこの脆弱性の影響は受けません。逆に言うなら、まだ未適用の場合はご注意くださいませ。

(Source:The Verge)

2018年4月16日、IntelはiGPUを使用したメインメモリ内のウイルススキャン機能『Accelerated Memory Scanning』を発表しました。

IntelによるとCPUを使用してメインメモリをスキャンした場合、20％のCPU負荷が生じていたものが、Accelerated Memory Scanningを使用することでCPU負荷は2％にまで抑えられたとのことです。

対象となるCPUはiGPUを持ったSkylake以降で、現在のところWindows10と『Windows Defender Advanced Threat Protection』が対応予定となっています。今後、他のアンチウイルスソフトでの対応も期待されます。

Flight Sim Labsのフライトシミュレータ用アドオン機体『A320-X』のインストーラにマルウェアが同梱されていることが判明しました。問題となるのは、Flight Sim Labsが故意に同梱させたことです。

Redditユーザのcrankyrecursion氏はインストーラ内に『test.exe』というファイルが含まれていることを指摘し、この実行ファイルはChromeからパスワードを抜く挙動をすると伝えています。

このマルウェアに対してFlight Sim Labsは下記の説明を行いました。

(Source:Malware Exploiting Spectre, Meltdown Flaws Emerges)

SecurityWeek.comによると、CPUの脆弱性を悪用するように設計されたマルウェアサンプルは、2018年1月31日時点で139件見つかっているという。今のところ、これらのサンプルは、攻撃者がターゲットのコンピュータ、特にウェブブラウザから情報を引き出す方法を模索している研究段階にあると見られています。

専門家は、攻撃に対する緩和策として、OSとBIOSアップデートだけでなく2つの推奨事項を挙げています。

「1時間以上PCを使わないときは電源を切り、休憩中にはウェブブラウザを閉じておくこと。これだけで攻撃されるリスクが減り、エネルギーの節約にもなります」

(Source:AMD is also being dragged into court following Spectre and Meltdown reports)

CPUの脆弱性について、AMDがVariant 2 (Spectre)の脆弱性の影響を受けると発表した後、AMDに対して集団訴訟が起こされたと海外メディアのKit Guruが報じました。

原告は、AMDのCPUの脆弱性に対する当初の主張は誤解を招き、結果として株価の低下に繋がり、株主は著しい損失および損害を被ったことを理由に挙げています。

Intel Active Management Technology (以下、Intel AMT)のパスワードを設定して、機能を無効にする方法をご紹介。

Intel AMTをバックドアとして悪用する方法なんてものがF-Secureにより報じられましたが、多くの人は　「自分には関係なさそうだな」　なんて思ったのではないでしょうか。

いえいえ、これが案外お使いのPCにも関係あるかもしれません。例えば中古ノートPC。購入したものが法人向けモデルだった場合、この機能があったりします。うちの中古ノートPCにもありました＼(^o^)／

パッと見てわかりやすい部分だと、

PCにこういった『vPro』と書かれたシールが貼られていたらIntel AMTが搭載されています。ちなみに、個人向けモデルにはまずありません。

ということで、サクッとIntel AMTのパスワードを設定して機能を無効化しちゃいましょう。以下、自分のノートPCでの設定のため、他のものとは異なる部分があるかもしれませんが、概ね似たようなものだと思います。

(Source:A Security Issue in Intel’s Active Management Technology (AMT))

Intelの企業・ビジネス向けノートPCなどに採用されているのリモート機能、Intel Active Management Technology (以下、Intel AMT)をバックドアとして悪用することができるとF-Secureが報じました。悪用するための条件は、同じネットワークセグメントにいることと、わずかな時間、物理的にターゲットのマシンにアクセスできることです。

Intel AMTをバックドアとして悪用するためにはターゲットのマシンを起動、もしくは再起動をして、[CTRL] + [P]を押してIntel Management Engine BIOS Extension (MEBx)のメニューに入ります。そこでパスワードの入力が必要になりますが、攻撃者はパスワードを知らないため、通常ならこれ以上のことはできません。しかし、F-Secureによると、多くのユーザはデフォルトのパスワード『admin』から変更していない可能性が高いそうです。

攻撃者は『admin』を使用してログインし、新しいパスワードを設定してリモートアクセスの有効化を行い、『User Opt-in』を『NONE』に変更すれば、同じネットワークセグメントにいる限り、ターゲットのマシンにリモートアクセスが可能になります。これら一連の行動は1分以内に完了するとのことです。

つまるところ、パスワードをしっかりと設定し、必要でなければIntel AMT無効にしていれば、このような被害に遭うことはありません。お心当たりのある方は、設定を見直してみてはいかがでしょうか。

詳細な設定・無効化方法は下記の記事をご覧くださいませ。

【CPU】 Intel AMTを無効にする方法