他人のPCで密かに仮想通貨マイニング　マルウェアがメッセンジャーで拡散

　欧州などで人気のメッセージサービス「Telegram」を悪用したマルウェアの拡散があったことが明らかになった。Unicodeの制御に存在した脆弱性を利用したもので、被害の規模などは不明だ。この攻撃は、メールに代わって、メッセンジャーが感染経路として浮上していることをクローズアップするとともに、マルウェアで仮想通貨の「マイニング」を行うものであったことが関心を集めている。

Unicodeの制御を悪用

　Telegramを使った攻撃は、ロシアのセキュリティ企業Kaspersky Labの発表によって明らかになった。Telegramは、ロシア・サンクトペテルブルク発の企業だが、ロシアのIT関連規制のため現在主要チームはドバイを本拠地としている。

　Kasperskyの2月13日のブログによると、何者かがTelegramのUnicodeの処理のバグを利用して攻撃を行っていたという。Unicodeには、右から左に（Right to Left）書くアラビア語、ヘブライ語などの言語への対応として「U+202E Right to Left Override（RLO）」という制御があるが、これをファイル名に入れることでファイル名を右から左読みに変えられる。

　「（RLOは）通常、アラビア語など右から左に書く言語のコーディングに使われる。だが、それだけでなくマルウェア作成者もこれを利用し、画像を装いながら悪意あるコードを含んだファイルを、ユーザーにダウンロードさせる細工をしていた」（Kaspersky）という。

　今回の攻撃は、「cute_kitten*U+202E*gnp.js」としてファイル名に「U+202E」を入れ込むことで、「cute_kittensj.png」と表示。「かわいい子猫（cute kitten）の画像が送られてきた」とユーザーをだましてマルウェアを仕込もうとするものだった。JavaScriptファイルの拡張子「.js」だと怪しいが、画像に使われる「.png」であれば警戒心も薄れるだろう。

　Kasperskyが攻撃を確認したのは2017年10月のことで、このゼロデイの脆弱性は2017年3月から存在していたという。同社は問題をTelegramに報告し、現在では修正されているようだ。Kasperskyは、攻撃の背後にロシアを拠点とするサイバー犯罪者が関与している模様だとしている。