Bｙ　gizmode.jp

ロシアのセキュリティ会社であるカスペルスキーの研究者が、新たに、FirefoxやChromeに改変を加えることで、TLS暗号化されたトラフィックのフィンガープリントを取るという独特の攻撃を発見した。これは、ロシアのハッキンググループ「Turla」によるものだとみられているが、目的が不明とのこと。

これは「Reductor」という名前のトロイの木馬をターゲットに感染させ、リモートアクセスを可能にする。そして各ホストに独自のデジタル証明書をインストールさせ、ホストのTLSトラフィックを傍受できるようにした後、ChromeやFirefoxの擬似乱数機能にパッチをあてて、フィンガープリントを追加するというものだ。フィンガープリントとはデジタルコンテンツの同一性を確認する為のものだ。

多くのハッカーがブラウザをターゲットにするのは、その脆弱性を利用するためであり、Turlaは今までにそのような行動はなく使途不明とのこと。

ターゲットに感染させるReductorにより、デバイスを乗っ取ることが出来る。ターゲットがそれに気づきトロイの木馬を削除しても、ブラウザを再インストールしない限りハッカーはターゲットのトラフィックを監視可能だ。このことから、ハッカーはターゲットを監視する2つめの手段ではないかと論じられている。

カスペルスキーの研究者は、初期のReductorの感染が、正規のウェブサイトからのダウンロード経由で起こったとし、正規のソフトウェアをマルウェアの感染したソフトウェアに置き換えることは容易だと研究者は述べている。

Turlaは2019年時点で最も高度なハッカーグループの1つといわれており、過去には通信衛星をのっとってマルウェアを拡散していたことも判明している。我々はこれから起こる未知の攻撃に対処できるのだろうか。