勝手にキオスクモード｜ブログ(ほぼこもセキュリティニュース)

キオスクモードというものがあります。
本来、多用途に利用できる汎用コンピュータやタブレットを、専用端末のように、ひとつの用途のみ利用できるようにするモードです。
これはデジタルサイネージで利用されたり、ホテルなどでの案内用のPCで利用されることのある便利な機能です。
しかし、最近、通常の業務用に使用しているPCを突然キオスクモードにしてしまって情報を抜き取るという攻撃手法が確認されています。

はじまりはAmadey
攻撃は、Amadeyというマルウェアに感染することから始まります。
Amadeyは、マルウェアローダー、情報窃取ツール、システム偵察ツールといういくつかの側面を持つマルウェアです。
いろいろな方法で感染することがありますが、たとえばクラック版のダウンロードなどから始まったりします。
StealCの持ち込み
脅威アクターは感染させたAmadeyを使って侵害環境でStealCをロードします。
StealCは軽量で多用途の情報窃盗マルウェアです。
Credential Flusherの持ち込み
脅威アクターは感染させたAmadeyを使って侵害環境でCredential Flusherをロードします。
Credential Flusherはインフォスティーラー型マルウェアではありません。
これは単に被害者にクレデンシャルを入力するよう圧力をかけるために使用されるだけのものですので、別のインフォスティーラー型マルウェアと組み合わせて使用されます。
ブラウザのキオスクモード起動
攻撃準備が整ったら、マルウェアはブラウザをキオスクモードで起動します。
キオスクモードは特定用途の利用を実現する機能ですので、この状態になると、スタートボタンは表示されなくなります。
普段ショートカットキーをあまり使わない方法でPCを操作されている方は、どうしてよいかわからなくなるかもしれません。
googleの認証情報入力画面の表示
ブラウザしか操作できない体裁となったPCの画面にはgoogleのパスワード変更機能の認証情報入力画面が表示された状態になります。
このときに、この画面の内容に従ってgoogleの認証情報を入力すると、その情報をロード済みのStealCで取得されてしまいます。
通常のマルウェアによる入力を促される画面の場合は、ユーザはそのウインドウを閉じるなどがしやすいこともあり、ユーザが怪しいと思えば、その画面を閉じることは難しくありません。
しかし、このマルウェアのように、キオスクモードに移行されてしまうと、どうしてよいかわからなくなって促されるままに怪しいと思いながらも認証情報を入力してしまう人が一定数いるように思えます。

このマルウェアの実現しているキオスクモードの状態では、エスケープキーもF11キーも無効化されています。
エスケープキーで全画面を終了させようとしても効果がありませんし、通常時には全画面の有効化無効化に利用できるF11も無効にされてしまっています。
焦る人は焦るでしょう。

しかし、こういった状況で使えそうなショートカットキーは他にもあります。
「Alt + F4」、「Ctrl + Shift + Esc」、「Ctrl + Alt +Delete」、「Alt + Tab」などの他のホットキーの組み合わせを試してみるのがよさそうです。
これもだめでも、「Win キー + R」でcmd.exeを起動してタスクを終了させるとかOSを再起動するなんていうこともできそうです。
無事OSの再起動ができる状態になったら、セーフモードで起動してウイルススキャンを実行し、マルウェアを削除して元の状態に戻しましょう。

突然のキオスクモードで驚いてしまうことになったとしても、不自然な流れで認証情報を入力することは避けたいですね。