Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象

Zerodium wants zero-day exploits for Windows VPN clients

2021/10/19 BleepingComputer — 今日の短いツイートで、エクスプロイト・ブローカーである Zerodium が、マーケットで人気の VPN サービス・プロバイダー3社の、ゼロデイ・エクスプロイト脆弱性情報の取得を検討していることを明らかにした。

VPN サービスとは、インターネット上のリソースにアクセスする際に、接続をプロバイダーのサーバー経由で行うことで、IP アドレスを隠すためのものだ。このルーティングにより、第三者がオンラインでの活動を追跡することが難しくなり、インターネット上でのプライバシーが向上する。

Windows 用 VPN クライアントがターゲット

いま、Zerodium が注目しているのは、NordVPN/ExpressVPN/SurfShark の各 VPN サービスであり、その脆弱性は Windows クライアントに影響を与えるものとなる。これらのサービスは、合わせて数百万人のユーザーに利用されており、最初の2つのサービスだけでも、世界中で 1,700万人のユーザーが、少なくとも利用していると報告されている。

3社のサイトに掲載されているデータによると、この3社だけで、数十カ国で 11,000台以上のサーバーを分散/管理しているとのことだ。

本日に Zerodium が発表した内容は、ユーザー情報/IPアドレス/リモートコード実行などを、確実に可能にする脆弱性を持つバグを募集するというものだ。また、このブローカーが望んでいない欠陥のタイプとしては、ローカルでの特権昇格がある。BleepingComputer では、Zerodium の発表について、VPN サービス・プロバイダー3社にコメントを求めたが、発表時点では回答は得られていない。

Zerodium の顧客層は、高度なゼロデイ・エクスプロイトやサイバー・セキュリティ機能を必要とする、欧米の政府機関など形成されている。今回の発表の背景には、VPN サービスの背後に潜むサイバー犯罪者の、活動を特定する手段を、政府機関が必要としていることが存在する。

NordVPN と Surfshark は、これまでにも脅威アクターたちに利用されてきた。
昨年、米連邦捜査局 (FBI) は、イランのハッカーが NordVPN サービスを利用して、偽の Proud Boys キャンペーンを行っていると警告した。

最近の例では、ロシアのハッカーが TOR や VPN サービスを使って、中でも Surfshark と NordVPN を使って発信元を隠し、Kubernetes サーバーに対してブルートフォース攻撃を仕掛けたと、今年に入って 米国家安全保障局 (NSA) が警告している。

Zerodium によると、同社のビジネスは倫理観に基づいて遂行され、厳格な基準/審査プロセスに基づき、顧客を選定しているという。また、取得したゼロデイ研究にアクセスできるのは、ごく一部の政府機関の顧客に限られているもという。

今年の初めに Zerodium は、Chrome のエクスプロイトに対する報奨金を、一時的に増やすことを発表した。具体的に言うと、リモートコード実行 (RCE) とサンドボックス・エスケープ (SBX) を組み合わせたエクスプロイトに対して、$1,000,000 の報奨金を提示していた。

これとは別に、Chrome の RCE と SBX に対する報奨金が、それぞれ $400,000 に引き上げられている。これらの報奨金は、本稿執筆時点では、まだ有効である。

Zerodiumは、モバイルとデスクトップの両方のプラットフォームにおいて、あらゆる OS を対象としたペイアウトを提供している。最大のものは、Windows/macOS/LinuxBSD/iOS/Android 向けとなる。

BleepingComputer は、Windows 用 VPN クライアントのエクスプロイトへの関心について、Zerodium に情報を求めましたが、公開時には返答がなかった。

以前にも、「Zerodium ゼロデイ・ブローカーが VMware vCenter の RCE 脆弱性を募集している」という記事をポストしましたが、セキュリティ研究者たちのモチベーションを、特定の分野に向けさせるという意味で、それなりの効果があるのでしょう。とても興味深いトレンドですね。

%d bloggers like this: