マルチメディアプレイヤーで有名なVLC media playerに関して、深刻な脆弱性を利用したサイバー攻撃の情報をご報告します。このアプリケーションにつき、脆弱性対策がなされるSuperShield 保護モードから切り換えないでください。
PC Matic個人版ご利用の日本のお客様で、PC Maticと他社セキュリティソフトの両方がインストールされた状態の端末において、VLC media playerの深刻な脆弱性を悪用され、VNCがインストールされ端末を遠隔操作されるという事案が本年5月9日に発生しました。お客様は遠隔操作に気がつき、画面上で勝手にエクスプローラーを操作されることに違和感を感じ、即座にイーサネットケーブルを抜いて、事なきを得ました。そのまま放置しておけば、エンドポイント保護による検出の回避やシステムのスキャン、悪意のある他のツールのダウンロード、外部のコマンド&コントロールサーバとの通信の確立などを行い、標的のシステムを完全な制御下に置くそうです。
PC Matic の標準保護モードであるSuperShield保護(NIST CMMC Level5)は、脆弱性保護対策がなされており、脆弱性(セキュリティホール)を抱えているアプリケーションを起動許可しません。PC Maticの個人版がもつブラックリスト保護モード(クラウドAI監査モード)では、他社セキュリティソフトと同一のNIST CMMC Level 3で稼働するため、脆弱性保護はなされず、このようなDLLインジェクションを行うアプリケーションの実行がなされてしまう可能性があります。
4月5日に、VLC media playerは中国政府の関与が指摘されているCicada(他の呼称:APT10、Stone Panda、Cloud Hopper)によってVLCの深刻な脆弱性が悪用され他のアプリケーションをインストールするローダーとして機能することが判明しました。
Cicadaは広く利用されているVNC remote desktopをダウンロード・インストールし攻撃対象の端末を画面共有にて乗っ取ります。このため、端末操作がなされている際には、操作されているパソコン画面にて目視が可能です。ロボットでもないため、端末内の情報取得などにも時間を要します。
PC Matic, Incでは、ローダーとしての悪用が報告された本年4月5日時点で、VLC media playerを脆弱なアプリケーションとして判定済・分類しており、脆弱なアプリケーション分類である「unknown」に指定し SuperShield保護モードではVLC自身を起動できなくする処置を実施しております。
今回のお客様は、他社セキュリティソフトが導入されていたため、Windows 10は、そちらをセキュリティ機能として有効化し機能していました。アプリケーションフック機能は他社セキュリティソフトに取られ、SuperShield保護モードは機能しておりませんでした。ただし、SuperShieldがもつEDRクラウド稼働ログが稼働し、全稼働プロセスのログを記録しておりましたので、今回は追跡調査が可能でした。
Microsoft認定セキュリティソフトは、Windows 11/10上で1製品しか稼働できません。パソコン起動の度にどちらかのセキュリティソフトが稼働したり、場合によっては競合によりフリーズや端末性能の大幅な低下などを引き起こします。セキュリティソフトによっては、アンインストール作業を行っても端末内で稼働し続けるものもあり、注意が必要です。PC Maticインストールページを参照の上、正しく他社セキュリティソフトをアンインストールしてください。今回のお客様は、他社セキュリティソフトのアンインストール自身を失念していらっしゃいました。
PC Maticのお客様におかれましては「他社セキュリティソフトの完全なアンインストール」および「脆弱性対策がなされたSuperShield保護モード」から切り換えて使用しないことを改めてお願い申し上げます。
マカフィー、ノートン、ウイルスバスターは、アンインストールを行ってもサービスが残存することがあります。PC Maticのスキャン履歴から、「サービス」を選択して他社セキュリティソフトのサービスが残存していないか今一度ご確認ください。Adobe Readerをインストールするとマカフィーが一緒にインストールされることもございます。
なお過去のバージョンのVLC media playerも同様の脆弱性を抱えておりますので、これらのシリーズを利用しないことを強く推奨します。一般的なエンドポイント保護製品では、これら善良なアプリケーションの挙動をヒューリスティックエンジンで防御することはかなり困難であるため、VLCをアンインストールすることが現在は唯一の解決方法です。PC Matic利用者も現在までのバージョンは、脆弱なアプリケーション指定により、SuperShield保護モード(NIST CMMC level 5)の場合は、起動保留処置のため利用できません。他社製品と同様の次世代エンドポイント保護(NIST CMMC Level 3)へ保護レベルを下げることで、脆弱性を含むアプリケーションをご利用いただけますが、前述のリスクが発生致します。
VLCの代替製品としては、CnX Media Playerがあります。この他、様々な利用のされ方があるかと思いますが、PC Maticご利用者の方は、代替アプリケーションのお勧めなどをサポートより受けることができますので、必要な方はお申し出ください。
VLCは、現在公開されているバージョンもこの脆弱性を抱えています。この機能が悪用されている実態が世界中で確認されているものの、その事実を認めていないため、MITRE CVEには登録されていません。このままの状態で放置された場合、弊社は脆弱なアプリケーションという分類から、ローダー機能をもった政府関係の関与が濃厚なスパイウェアとしてマルウェア指定を行う流れとなります。
このVLCのエクスポート機能を悪用したサイバー攻撃に関しては、Symantec社では2021年半ばから現在に至るまで確認されているとのことです。(詳細は下記のBleeping Computerの記事を参照ください)
Cicadaによる以前の標的は、日本に関連する企業に集中していましたが、今春のVLCを用いた攻撃の被害者は、アメリカ、カナダ、香港、トルコ、イスラエル、インド、モンテネグロ、イタリアにも広がっています。この攻撃以前は、日系企業を中心に、過去には医療、防衛、航空宇宙、金融、海運、バイオテクノロジー、エネルギー、政府機関などを対象としていました。依然として日系企業をターゲットにし続けていると指摘できるでしょう。
またフリーの動画プレイヤーや、動画ダウンロードプログラム、動画ダウンロード・ブラウザープラグインなどには悪意あるアプリケーションに遭遇する確率が高い傾向にあります。不正な広告ネットワークしか収益源のない、海賊版の漫画ビューアサイト、違法アダルトサイトもマルウェアの温床です。
PC Matic利用者の方は、ブラウザー保護機能であるWebShieldを必ず導入して、これら不正なスクリプトがブラウザ内で活動したり、プログラムがダウンロードされることを回避してください。
PC Maticには、こうした脆弱性を突いたサイバー攻撃に予防対処するため、「著名アプリケーションの強制自動更新機能」を有しておりますが、現在VLCは対象となっておりません。エクスポート機能の脆弱性対策がなされたバージョンがリリースされた際には、今回をサイバー攻撃を契機に追加を行うべきか検討を行って参ります。
参考記事:
Chinese hackers abuse VLC Media Player to launch malware loader (Bleeping Computer)
中国のサイバー犯罪グループ、VLCのエクスポート機能悪用した攻撃展開か (MyNavi)
【2023/5/10追記】
PC Matic個人版・法人版ともに、VLC Media Playerを自動更新を実施するアプリケーションへ追加いたしました。DLLサイドローディングを意図して開発されている可能性も否定できず、今後はアプリケーション・ホワイトリスティング方式(NIST SP 800-167準拠)の「SuperShield保護モード」にて、善良と判断するためのデジタルフォレンジックにおいては、注視アプリケーションと内部指定されましたことをご報告いたします。お客様におかれましては可能であれば、代替アプリケーションへの切り替えを強く推奨致します。
