マルチメディアプレイヤーで有名なVLC media playerに関して、深刻な脆弱性を利用したサイバー攻撃の情報をご報告します。また、本アプリの利用時、SuperShield保護モードから切り換えないでください。
PC Matic個人版ご利用のお客様で、PC Maticと他社セキュリティソフトの両方がインストールされた状態の端末において、VLC media playerの深刻な脆弱性を悪用され、VNCがインストールされ端末を操作されるという事案が本年5月9日に発生しました。
4月5日に、VLC media playerは中国政府の関与が指摘されているCicada(他の呼称:APT10、Stone Panda、Cloud Hopper)によってVLCの深刻な脆弱性が悪用され他のアプリケーションをインストールするローダーとして機能することが判明しました。
Cicadaは広く利用されているVNC remote desktopをダウンロード・インストールし攻撃対象の端末を画面共有にて乗っ取ります。このため、端末操作がなされている際には、操作されているパソコン画面にて目視が可能です。ロボットでもないため、端末内の情報取得などにも時間を要します。
PC Matic, Incでは、ローダーとしての脆弱性が報告された本年4月5日時点で、VLC media playerを脆弱なアプリケーションとして判定・分類しており、脆弱なアプリケーション分類である「unknown」に分類し SuperShield保護モードではVLC自身を起動できなくする処置を実施しております。ブラックリスト保護モードでは、VLCも含め脆弱なアプリケーションも起動しますが、このようなリスクが伴います。
今回のお客様は、他社セキュリティソフトが導入されていたため、Windows 10は、そちらをセキュリティ機能として有効化し機能していました。アプリケーションフック機能は他社セキュリティソフトに取られ、SuperShield保護モードは完全には機能しておりませんでした。ただし、SuperShieldがもつEDR稼働ログは機能しておりましたので、今回は追跡調査が可能でした。
Microsoft認定セキュリティソフトは、Windows 11/10上で1製品しか稼働できません。パソコン起動の度にどちらかのセキュリティソフトが稼働したり、場合によっては競合によりフリーズや端末性能の大幅な低下などを引き起します。セキュリティソフトによっては、アンイスントール作業を行っても端末内で稼働し続けるものもあり、注意が必要です。PC Maticインストールページを参照の上、正しく他社セキュリティソフトをアンイスントールしてください。今回のお客様は、他社セキュリティソフトのアンイスントール自身を失念していらっしゃいました。
なお過去のバージョンのVLC media playerも同様の脆弱性を抱えておりますので、これらのシリーズを利用しないことを強く推奨します。PC Matic SuperShield保護を利用していない方にとっては、VLCをアンイスントールすることが唯一の解決方法です。PC Matic利用者も現在までのバージョンは、起動保留処置のため利用できません。
VNCの代替製品としては、CnX Media Playerがあります。この他、様々な利用のされ方があるかと思いますが、PC Maticご利用者の方は、代替アプリケーションのお勧めなどをサポートより受けることができますので、必要な方は、お申し出ください。
またフリーの動画プレイヤーや、動画ダウンロードプログラム、動画ダウンロード・ブラウザープラグインなどには悪意あるアプリケーションに遭遇する確率が高い傾向にあります。不正な広告ネットワークしか収益源のない、海賊版の漫画ビューアサイト、違法アダルトサイトもマルウェアの温床です。
PC Matic利用者の方は、ブラウザー保護機能であるWebShieldを必ず導入して、これら不正なスクリプトがブラウザ内で活動したり、プログラムがダウンロードされることを回避してください。
PC Maticには、こうした脆弱性を突いたサイバー攻撃に予防対処するため、「著名アプリケーションの強制自動更新機能」を有しておりますが、現在VLCプレイヤーは対象となっておりません。脆弱性対策がなされたバージョンがリリースされた際には、今回を契機に追加を行うべきか検討を行って参ります。
参考記事:
Chinese hackers abuse VLC Media Player to launch malware loader (Bleeping Computer)
中国のサイバー犯罪グループ、VLCのエクスポート機能悪用した攻撃展開か (MyNavi)