世界有数の人気を誇る「Windows」向けファイル圧縮・解凍ユーティリティ「WinRAR」に脆弱性が存在している事実が2019年2月に明らかになった。過去19年間にリリースされたWinRARの全バージョンに影響を与える同脆弱性は、この1カ月間でまたたく間に多くのマルウェア開発者によって利用されるようになった。



提供：Logo: WinRAR // Composition: ZDNet 提供：Logo: WinRAR // Composition: ZDNet

これまでに複数の攻撃キャンペーンが確認されており、サイバー犯罪グループが、そしておそらくは国家の支援を受けたハッカーらも、WinRARのこの脆弱性を突いて、ユーザーのデバイスにマルウェアを感染させようとしている。

この脆弱性は米国時間2月20日にCheck Point Software Technologiesによって公表されていた。攻撃者はこの脆弱性を突く仕掛けを施したアーカイブを作成し、WinRARユーザーをだまして解凍させることで、悪意のあるファイルをユーザーシステム上の任意の場所に仕掛けられる。

攻撃者はこの脆弱性（CVE-2018-20250）を利用して、Windowsのスタートアップフォルダにマルウェアを植え付けることができるとCheck Pointは指摘する。スタートアップフォルダにあるファイルは、システムの起動時に自動的に実行される。

同脆弱性が公表されて1週間以内に、複数のハッカーグループがこれを悪用してユーザーのコンピュータにトロイの木馬を送り込み、バックドアを仕掛け始めた。

Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy



IOC:

hxxp://138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D — 360 Threat Intelligence Center (@360TIC) 2019年2月25日

こうした最初のキャンペーンの後に、次々とスパムキャンペーンが続き、技術文書からアダルト画像に至るまでの各種のおとりを用いて、さまざまなマルウェアがペイロードとして配信されるようになっている。

Warning! Upgrades in the #WinRAR vulnerability (#CVE-2018-20250) exploit, use social engineering to lure victims with embedded image files and encrypt the malicious ACE archive before delivering.



Analysis report: https://t.co/LEcRPqP0cT



Chinese version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ — 360 Threat Intelligence Center (@360TIC) 2019年2月27日

WinRARの脆弱性を突く悪意あるアーカイブの中には、2月に行われた米国のトランプ大統領と北朝鮮の金正恩朝鮮労働党委員長との2度目の会談の前日に韓国の政府機関を狙ったものも見つかっている。

当時、米ZDNetが話をしたセキュリティ研究者らは、北朝鮮政府やロシア政府が支援するハッカーグループとのつながりは確認できていないものの、そのタイミングや標的は、国家の支援を受けたハッカーグループの活動を想起させるものがあると述べていた。

しかし、WinRARの脆弱性を悪用した、政治目的を有するスピアフィッシングキャンペーンはこれにとどまらない。

最初に確認された事例は、ウクライナの法律に関する文書と称して、WinRARの脆弱性を突く悪意あるアーカイブファイルを被害者に展開させるよう仕向けるものだった。

#WinRAR exploit (#CVE-2018-20250) sample seems targeting #Ukraine with a Ukrainian law related PDF document embedded. It drops mssconf.bat to download and execute additional PowerShell scripts.



Malicious URL: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr — 360 Threat Intelligence Center (@360TIC) 2019年2月28日

その後、中東のユーザーを標的として、国際連合（UN）と人権に関する文書を展開させようとする2つ目のキャンペーンがあった。

WinRAR exploit (#CVE-2018-20250) sample (united nations .rar) seems targeting the Middle East. Embedded with bait documents relating to the United Nations Human Rights and the #UN in Arabic, it finally downloads and executes #Revenge RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5 — 360 Threat Intelligence Center (@360TIC) 2019年3月12日

これらは標的を絞り込んだ攻撃であり、サイバー諜報を目的とした情報機関の仕業である可能性が高いとされている。

国家の支援を受けたグループだけでなく、一般のサイバー犯罪組織もマルウェアの配布に同じ脆弱性を悪用している。

McAfeeが3月14日に公開したレポートには、これらキャンペーンの最新情報が記載されており、そのなかには、歌手アリアナ・グランデさんの海賊版アルバムだとユーザーをだまし、仕掛けを施したアーカイブによってシステムにマルウェアを送り込もうとするものもあったという。

McAfeeの専門家らは、「WinRARの脆弱性を悪用してユーザーのシステムを感染させようとするエクスプロイトは100種類以上あり、まだ増え続けている」と述べている。

大局的に見ると、こういった攻撃は今後も続いていくだろう。WinRARのユーザー数は（そのベンダーによると）5億人以上にのぼっており、その多くが脆弱性を含んだ旧バージョンであると思われるため、理想的なアタックサーフェスとなっているのだ。

この脆弱性に対処した「WinRAR 5.70 Beta 1」が米国時間1月28日にリリースされているが、これを利用するにはWinRARのサイトにアクセスしてダウンロード、インストールする必要がある。