Spectre/Meltdown脆弱性を利用したマルウェアが発見

1月7日～22日の期間で発見されたSpectre/Meltdown脆弱性を利用したマルウェアサンプル数の推移 出典:AV-TESTのツイート

　セキュリティソフト評価機関AV-TESTは1日、Spectre/Meltdown脆弱性を利用したマルウェアサンプルが発見されたことを報告した。

　「Spectre (Branch Target Injection: CVE-2017-5715およびBounds Check Bypass: CVE-2017-5753)」および「Meltdown (Rogue Data Cache Load: CVE-2017-5754)」は、x86やArmなどのCPUアーキテクチャに影響する脆弱性(Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ参照)。

　AV-Testによれば、1月7日から22日の期間において、同脆弱性を利用しているとみられるマルウェアのサンプルが、計119個発見されたという。

　現状、これらを用いた攻撃が行なわれているかは確認されていないが、米セキュリティ企業のFortinetが、それらのサンプル中の約83%が、概念実証(PoC: proof-of-concept)コードに基づいて作られていることを確認している(残る17%は未公開)。

　セキュリティ分野において、脆弱性が発表されるさい、その脆弱性が単なる理論的なものではなく、実際に攻撃に転用可能であることを証明するため、一般的に、論文と同時にPoCコードも発表される。

　Fortinetでは、発見されたそれらのマルウェアについて、以下のウイルス定義シグネチャを発行している。

• Riskware/POC_Spectre
• W64/Spectre.B!exploit
• Riskware/SpectrePOC
• Riskware/MeltdownPOC
• W32/Meltdown.7345!tr
• W32/Meltdown.3C56!tr
• W32/Spectre.2157!tr
• W32/Spectre.4337!tr
• W32/Spectre.3D5A!tr
• W32/Spectre.82CE!tr
• W32/MeltdownPOC

　脆弱性に対しては各社が対策を進めているが、1月22日にはIntelが開発したSpectre対策のマイクロコードに不具合があったため、同社がパートナーへの提供を中断しているほか、Microsoftも同コードを無効化するアップデートを配信している(Microsoft、Intelの脆弱性対策を無効化する緊急アップデートを配信参照)など、現状では思うように対応が進んでいない。

　前述のとおり、IntelやAMD製CPUのようなx86だけでなくスマートフォンで使われるArmにも影響するため、企業のセキュリティ担当者といった役職だけでなく、一般ユーザーも本件の動向を注視するとともに、マルウェアの一般的な感染経路(Eメールなどで不審なリンクをクリックしないなど)に注意を払うよう推奨したい。

[UPDATE: 2018-02-01]#Spectre&#Meltdown: So far, the AV-TEST Institute discovered 139 samples which appear to be related to recently reported CPU vulnerabilities.#CVE-2017-5715#CVE-2017-5753#CVE-2017-5754

SHA256 Hashes:https://t.co/7tKScinC8Zpic.twitter.com/LxvHNqqYY4

— AV-TEST GmbH (@avtestorg)2018年2月1日