ELUSIVE COMETは、ハッキンググループにつけられた名称です。
彼らは技術的な視点を持ちつつも、ソーシャルエンジニアリングの手法を混ぜ込みながら攻撃を展開します。
ELUSIVE COMETの展開する攻撃でWeb会議サービスのZoomを悪用するものが確認されています。
この攻撃の内容を見てみましょう。
- Zoomのリモートコントロール機能
ELUSIVE COMETの今回の攻撃では、Zoomのリモートコントロール機能を悪用します。
Zoomだけの話ではありませんが、こういったツールの中にはWeb会議参加者のPCを会議主催者などの他の機器から操作することを実現する機能を搭載したものがあります。
これは目新しい機能ではないですが、その目新しくないということがこの攻撃でこの機能を悪用することの意味につながります。 - 攻撃の手順
攻撃者は次のような手順で攻撃を実施します。- 攻撃者は、一見正当なビジネス通話をスケジュールする
- 画面共有中に、リモート コントロール アクセスを要求する
- リクエストがシステム通知として表示されるように、表示名を「Zoom」に変更する
ここの部分がミソです。
攻撃者がZoomの表示名を「Zoom」に変更することにより、被害者に表示されるプロンプトには「Zoom が画面のリモート制御を要求しています」と表示されます。
これにより、表示されるダイアログはアプリからの正当な要求のように見えます。 - 攻撃者が被害者のPCを操作する
アクセスが許可されると、マルウェアをインストールしたり、データを盗み出したり、暗号通貨を盗んだりする
非常にシンプルです。
この手法はセキュリティを普段から意識していない人だけでなく、セキュリティの専門家に対しても有効に作用してしまうことがあります。
わたしたちがZoomのようなツールに慣れていること、許可ダイアログが表示されてそれを受け入れるという場面に慣れていること、Web会議の中身に集中しているなどで注意がそれていること、などが相まって「つい」リモートコントロール機能を許可してしまうことがあるという感じです。
この問題をレポートしたセキュリティチームは、重要な情報を取り扱う環境ではZoomをすべてアンインストールすることを推奨しています。
たしかに存在しないソフトウェアを悪用することはできないです。
しかし、「はい、そうですね。削除します。」とは、ならないかもしれませんね。
便利機能と危険はすぐ近くにいることがあるという例の一つになっています。
こういった例もあるということを把握し、人の脆弱性部分を悪用されないようにしていきたいですね。
Mitigating ELUSIVE COMET Zoom remote control attacks
https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
