画像: WinRAR / Unsplash
まだWinRarを熱心に使っている方ですか?特に暗号通貨をお持ちの方は、今すぐソフトウェアを更新する必要があります。WinRarのゼロデイ脆弱性により、ハッカーが取引アカウントに侵入できる可能性があり、ハッカーたちは4月からこの脆弱性を悪用しようと積極的に取り組んでいます。2023年10月に発表された新たな情報によると、国家レベルのハッカーがこのバグを積極的に悪用しているようです。同じ脆弱性が悪用され、他の種類のマルウェアがシステムにインストールされる可能性もあります。
仕組みはこうです。悪意のあるzipファイルをWinRARで開きます。WinRARは、PC上のあらゆる圧縮ファイル形式のデフォルトプログラムです(もちろん、WinRARをインストールした後)。ファイルには、PDF、テキストファイル、JPG画像など、一見無害なドキュメントがぎっしり詰まっています。そのうちの1つをダブルクリックして開きます。しかし、WinRARは知らないうちに、バックグラウンドでスクリプトを読み込むように仕向けられ、攻撃者が証券口座から金銭を盗むためのマルウェアをインストールします。
Bleeping Computerの報道によると、WinRARバージョン6.23では、この問題に加え、特定の種類のRARファイル(つまり、その脆弱性を悪用するために特定の方法で作成されたRARファイル)を開くとコマンドが実行される脆弱性も修正されています。このバージョンは8月2日にリリースされ、すべてのWinRARユーザーが利用できるはずです。最新リリースの6.24でもこのセキュリティ問題が修正されています。新しいバージョンは手動でダウンロードする必要があり、WinRARには自動更新機能がありません。
Group-IB(Bleeping Computer経由)
サイバーセキュリティ企業のGroup-IBは、DarkMeマルウェアファミリーの拡散を追跡中に、この脆弱性(CVE-2023-38831として登録)を発見しました。DarkMeは、以前から金融攻撃との関連が指摘されています。仮想通貨や株式取引のフォーラムに投稿されたこのマルウェアに感染したzipファイルには、DarkMeに加え、GuLoaderやRemcosといったマルウェアファミリーが含まれていました。GuLoaderとRemcosは、PCへのマルウェアダウンロードとインストールを可能とするだけでなく、攻撃者に任意のコマンド実行、キー入力の記録、スクリーンキャプチャ、ファイル管理などの権限を与えます。(より詳細な技術的情報については、Bleeping Computerによるエクスプロイトの概要をご覧ください。)
Group-IBの報告時点で、130人のトレーダーの感染が確認されています。これらのzipファイルは少なくとも8つのフォーラムで共有されており、いずれも他人の収入向上を支援するという名目で利用されていました。現時点では、被害者の全数と被害額は不明です。WinRARには自動更新機能がないため、すべてのユーザーは最新バージョンを手動でダウンロードしてインストールすることをお勧めします。
このWinRAR攻撃は、インターネットから怪しいファイルをダウンロードしない(ましてや開かない)という古くからのセキュリティ対策が依然として有効であることを改めて思い起こさせるものです。また、Windows 11へのアップグレードを促す要因にもなり得ます。Windows 11はまもなくrar、7-Zip、gzといった圧縮ファイル形式をネイティブサポートし、サードパーティ製のソフトウェアは不要になります。
この記事は最初に2023年8月23日に公開され、2023年10月19日に新しい情報で更新されました。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
