GitHubを使うオープンソースプログラマーをターゲットにした標的型攻撃が発生している。コードをこっそり改ざんされる可能性もあるという。
GitHubを使うオープンソースプログラマーを対象に、コンピュータをトロイの木馬プログラムに感染させようとする標的型攻撃が発生している。スロバキアのセキュリティ企業 ESETが2017年3月30日(現地時間)、公式ブログで注意を呼び掛けた。以下、内容を抄訳する。
GitHubを活用しているプログラマーは警戒が必要だ。何者かがあなたのコンピュータにマルウェアを感染させようと狙っているからだ。
GitHubユーザーにメールを送り付け、コンピュータにトロイの木馬プログラムをインストールしようとする標的型マルウェア攻撃の発生が報告されている。
この攻撃は2017年1月に発覚した。攻撃に使われる電子メールは、以下のようにプログラミングの仕事を持ち掛ける文面で届く。
Hey. I found your software is online. Can you write the code for my project? Terms of reference attached below.
(どうも。オンラインであなたのソフトウェアを見つけました。私のプロジェクトでコードを書いてもらえませんか。依頼事項の詳細は添付ファイルの通りです。)
The price shall discuss, if you can make. Answer please.
(引き受けていただけるならば、料金は相談に応じます。返事をお待ちしています。)
また、最近見つかった攻撃メールでは、さらに「ほめ言葉」を交えるなどして、文面の唐突さを緩和させる工夫を取り入れている。
Hello,
(こんにちは)
My name is Adam Buchbinder, I saw your GitHub repo and i’m pretty amazed. The point is that i have an open position in my company and looks like you are a good fit.
(Adam Buchbinderと申します。あなたのGitHubリポジトリを拝見し、すばらしいと思いました。実は、私の会社に空いているポストがあり、あなたが適任のように思われます。)
Please take a look into attachment to find details about company and job. Dont hesitate to contact me directly via email highlighted in the document below.
(会社概要と職務内容のファイルを添付したので、ご覧いただけますか。このファイルに明記したメールアドレス宛に、遠慮なく直接連絡をください。)
Thanks and regards,
(以上、よろしくお願いいたします。)
Adam.
添付ファイルはアーカイブ形式となっており、その中にWordドキュメントがある。これにマルウェアが仕込まれている。受信者が仕事に釣られてこのファイルを開いてしまうと、マルウェアがPCにインストールされる流れだ。
パロアルトの研究者が「Dimnie」と呼ぶこのマルウェアは、ESETのセキュリティ製品では「VBA/TrojanDownloader.Agent.CLB」として検出される。
このトロイの木馬プログラムは、標的のPCに感染して、キー操作の記録、スクリーンショット撮影、情報の窃盗といったスパイ行為を行う。GitHubを使うプログラマーのPCでは当然、オンラインで公開されているオープンソースコードをいじっている可能性もある。
ちなみにこのトロイの木馬の最新版では、データの搾取をセキュリティ製品によって検知されないように、挙動をカムフラージュするように動作する。さらに、自身を破壊するとともに、感染PC上に存在した痕跡も消去することも可能としている。
GitHubを使うプログラマーに対する攻撃の動機についてはいろいろ取り沙汰されたようだが、攻撃の首謀者は、プログラマーが勤務している可能性がある企業のシステムへの侵入に役立てようと、資格情報などの情報を盗んでいるのではないかとされている。さらに、攻撃者が「信頼されている本物のプログラマー」になりすまして、コーディングプロジェクトにこっそりと何らかの脆弱(ぜいじゃく)性を埋め込もうとしている可能性もある。
こうした標的型攻撃は、巧妙だ。一方的に送られてきた添付ファイルについては、「開く前によく考える必要がある」ことをあらためて思い出させてくれる。
Copyright © ITmedia, Inc. All Rights Reserved.