Last Updated on 2024-11-19 13:15 by admin
中国の脅威アクターBrazenBambooが、Fortinet社のVPNクライアント「FortiClient for Windows」の未修正の脆弱性を悪用し、VPN認証情報を窃取する攻撃を行っていることが判明した。
発見時期:2024年7月
報告企業:Volexity社
報告日:2024年7月18日
影響を受けるソフトウェア:FortiClient version 7.4.0
2024年11月15日にVolexity社が更新したブログ(脅威の詳細が図解されている)
DEEPDATAマルウェアの特徴:
- 12種類のプラグインを使用
- FortiClientのメモリから直接VPN認証情報を抽出
- 情報収集対象:各種メッセージングアプリ(WhatsApp、Telegram、Signal、WeChat、LINE、QQ、Skype等)、メールソフト、パスワード管理ツール
from:Warning: DEEPDATA Malware Exploiting Unpatched Fortinet Flaw to Steal VPN Credentials
『The Hacker News』はFortinet社にコメントを求めており、返答があれば記事を更新する予定である。
【編集部解説】
今回発覚したFortiClientの脆弱性は、企業のVPNセキュリティに対する重大な警鐘を鳴らす事例として注目に値します。
特に深刻なのは、この脆弱性が最新バージョン(v7.4.0)で発見されたという点です。
DEEPDATAマルウェアの特徴として、プラグイン方式を採用していることが挙げられます。これにより、攻撃者は必要な機能を柔軟に追加・削除できる上、検知を回避しやすくなっています。
注目すべきは、このマルウェアがビジネスコミュニケーションツールを重点的に標的にしていることです。特にDingDingやFeishuといった中国企業で広く使用されているツールも対象となっており、中国国内での監視活動にも使用されている可能性を示唆しています。
BrazenBambooの活動は、政府支援型ハッカー組織(APT)の新たな傾向を示しています。従来のAPTグループが特定の標的に対して持続的な攻撃を行うのに対し、このグループは広範な情報収集を目的としたツールの開発に注力しています。
特筆すべきは、成都404やI-Soonといった民間企業との関連性です。これは中国における官民一体のサイバー能力開発体制を示す具体例といえるでしょう。
企業のセキュリティ担当者にとって重要なのは、FortiClientの最新版を使用している場合、むしろ脆弱性のリスクが高まる可能性があるという点です。アップデートを行う際は、セキュリティ情報を十分に確認する必要があります。
今後の展望として、このような高度なマルウェアの出現は、VPNクライアントソフトウェアの開発方針にも影響を与える可能性があります。特に、メモリ内の認証情報の扱いについて、より厳格な保護機能が求められるでしょう。
また、プラグイン型マルウェアの台頭は、従来のアンチウイルスソフトウェアによる検知・防御の限界も示しています。今後は、振る舞い検知やゼロトラストセキュリティといった、より包括的なセキュリティアプローチの重要性が増すと考えられます。