Microsoft がだまされる可能性がある場合、私たちの安全性は?
マイクロソフトは、今年 6 月 24 日に Windows 11 を発表したことで、最近ニュースになっています。しかし、それが人々の間で話題になっている唯一の理由ではありません。最近明らかになったマルウェア情報に加えてリリースされた多くの更新など、他にもいくつかの理由があります.
マイクロソフト セキュリティ レスポンス センター (MSRC) は、中国のコマンド アンド コントロール (C2) サーバーとデータを交換していた悪意のあるルートキット マルウェアを含むドライバーを受け入れたことを認めました。特定の悪意のある攻撃者が、レドモンドの巨人をだまして、ゲーム環境を標的とするように設計された Netfilter ドライバーに署名させたようです。ドライバーは、プレイヤーの位置情報を隠し、任意の地域からプレイするために使用されました。
このマルウェアの最初のインスタンスは、ドイツのサイバーセキュリティ企業 G Data のマルウェア アナリストである Karsten Hahn によって特定されました。 「Windows Vista 以降、カーネル モードで実行されるすべてのコードは、オペレーティング システムの安定性を確保するために、公開前にテストして署名する必要があります。」ハーンは述べた。 「Microsoft 証明書のないドライバーは、デフォルトではインストールできません」と彼は続けました。
このマルウェアはどのように機能しましたか?
MSRC は、悪意のある人々がこのマルウェアを使用して他のゲーマーを悪用し、キーロガーを使用してアカウントの資格情報を侵害したと説明しました。また、デビット/クレジット カード情報や電子メール アドレスなど、他の情報もハッキングできた可能性があります。
Netfilter は、ユーザーがパケット フィルタリングを有効にしてネットワーク アドレスを変換できる正規のアプリケーション パッケージであることに注意してください。また、新しいルート証明書を追加したり、新しいプロキシ サーバーをセットアップしたり、インターネット設定を変更したりすることもできます。
ユーザーがこのアプリケーションをシステムにインストールすると、C2 サーバーに接続して構成情報と更新を受信しました。 Microsoft はまた、攻撃で採用された手法は悪用後に発生すると説明しました。これは、攻撃者が最初に管理者権限を取得し、次にシステムの起動時にドライバーをインストールする必要があることを示しています。
MSRC は次のように述べています。
Hahn はマルウェアを発見した主な人物ですが、その後 Johann Aydinbas、Takahiro Haruyama、Florian Roth などの他のマルウェア研究者が加わりました。彼は Microsoft のコード署名プロセスに懸念を抱いており、Microsoft の承認済みドライバー セットに他のマルウェアが隠されているのではないかと疑っていました。
悪意のあるアクターの手口
マイクロソフトに通知が届くと、インシデントを調査し、再発しないように予防措置を講じるために必要なすべての手順を実行しています。 Microsoft は、盗まれたコード署名証明書が使用されたという証拠はないと述べています。このマルウェアの背後にいる人々は、Microsoft のサーバーにドライバーを送信するという正当なプロセスに従い、Microsoft が署名したバイナリを合法的に取得しました。
Microsoft は、ドライバーはサードパーティの開発者によって作成され、Windows ハードウェア互換性プログラムを通じて承認のために提出されたと述べています。この事件の後、Microsoft はこのドライバーを提出したアカウントを一時停止し、そのアカウントによって行われたすべての提出物を最優先でレビューし始めました。
さらに、Microsoft は、保護をさらに強化するために、パートナー アクセス ポリシーとその検証および署名プロセスを改良すると述べました。
Microsoft の決定的なポイントは、ルートキット マルウェアが読み込まれた Netfilter ドライバーの署名を受け入れる
Microsoft は、このマルウェアは中国のゲーム業界を攻撃するために作成されたものであり、少数の個人の仕業のようだと主張しています。組織や企業をマルウェアと結び付けるつながりはありません。ただし、そのような誤解を招くバイナリは、大規模なソフトウェアを開始するために誰でも利用できることを理解する必要があります
攻撃。過去には、イランの核計画を攻撃した Stuxnet 攻撃のように、このような攻撃が助長されてきました。これは、コード署名に使用された証明書が Realtek と JMicron から盗まれたためです。
Microsoft が Windows 11 の発売に向けて準備を進めている中、この事件は、Microsoft がオペレーティング システムに提供する安全性とセキュリティに疑問を投げかけています。どう思いますか?以下のコメントセクションであなたの考えを共有してください。 Facebook、Instagram、YouTube などのソーシャル メディアでフォローしてください。
-
Andariel 攻撃とは何か、PC を保護する方法は
Kaspersky のアナリストは、Andariel グループは 1 つの業界に集中するのではなく、あらゆる企業を標的にする準備ができていると結論付けました。 6 月、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、企業や政府機関を標的とするマウイ ランサムウェアの主な標的は米国の医療業界であると発表しました。ただし、インド、ベトナム、ロシアで複数の被害者が発生したことに加えて、日本の企業に対する攻撃が少なくとも 1 件発生しています。 アンダリエル グループの攻撃方法 – 操作方法 有名なスパイウェア DTrack は、Andarie
-
Microsoft Safety Scanner を使用してマルウェアをスキャンする方法
ウイルスなどのマルウェアによって、Windows が正常に機能しなくなることがあります。そのような状況では、サードパーティのウイルス スキャナーや Microsoft Defender スキャンを利用できない場合があります。 Microsoft Safety Scanner を使用して、Windows PC 上のマルウェアを検索して特定できます。このプログラムはインストールを必要としないため、Defender またはサードパーティのウイルス対策に問題がある場合に役立ちます。 Microsoft Safety Scanner を使用してマルウェアをスキャンする手順 Safety Scanner