Androidエミュレーター「BlueStacks」の脆弱性を悪用し、マイニングマルウェアをインストール

　「BlueStacks App Player」のアクセス制限不備の脆弱性「CVE-2018-0701」について、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が運営するJVN（Japan Vulnerability Note）では注意を喚起している。

　影響を受けるのは、Windows版がバージョン「3.0.0」～「4.31.55」まで。macOS版が同「2.0.0」以降。

　対象バージョンのBlueStacksがインストールされ、アクティブ化された端末は、TCPポート5555番が、ADB（Android Debug Bridge）接続用のポートとして動作する。

　端末がインターネットに接続可能な場合、攻撃者が脆弱性「CVE-2018-0701」を悪用すると、認証を経ずにBlueStacks上のVM環境にアクセスし、パッケージマネージャーを介して悪質なアプリをインストール可能となる。CVSS v3のスコアは「6.3」。

　対策として、Windows版では、ADBをデフォルトで無効とされた最新バージョンへのアップデートが推奨されている。アップデートが提供されていないmacOS版では、外部からTCPポート5555番へのアクセスをブロックするか、端末をインターネットに接続しないことが推奨されている。

NICTERが脆弱性を悪用したマイニングマルウェアを観測

　国立研究開発法人情報通信研究機構サイバーセキュリティ研究室NICTERプロジェクトのメンバーが中心となって運営しているNICTER公式ブログでは、2018年1月以降、TCPポート5555番への通信増加を観測。

　さらに7月9日には約10倍となる約17万ホストからの通信があり、依然としてTCPポート5555番を狙った攻撃を観測している。

　日本国内でも、TCPポート5555番への通信が2月より観測され、7月30日には約560ホストからの通信が確認された。さらに10月以降にも約300ホスト前後からの通信を観測する状況が継続しているという。

　NICTERが、ハニーポットを用いてTCPポート5555番宛の通信内容を確認したところ、adbデバッグが有効化されたAndroid環境に対して「adb connect」を実行して接続し、UNIXシェルを介して仮想通貨のマイニングプログラムをダウンロードし、インストールしようとするものだったという。

　通常、ADBはUSBを介して使用されるが、TCPポート5555番で待ち受けるように設定することで、Wi-Fiなどのネットワーク経由で利用可能になる。ただ、ADBには認証の仕組みが備えられていないという。

　通信内容の大半は、TCPのシーケンス番号が宛先IPアドレスと同一であり、これはマルウェア「Mirai」の特徴と重なる。このことからNICTERでは、Miraiあるいはその亜種に探索機能を追加したものによると推測している。

　ADBが動作するホストを国別にみると、最も多いのが台湾の約1万で、韓国、中国が続き、8番目の日本にはおよそ800ホストが存在していた。

　NICTERによれば、この800ホストの一部は、グローバルIPアドレスが割り振られたPCでBlueStacksが実行されたものだった。

　また、PCをインターネットへ直接接続せず、ルータ－を経由している環境でも、NAPT（IPマスカレード）の設定が正しく行われていない場合も考えられるとしている。

　実際に、オンラインゲーム用にNAPTの設定を解説したウェブページには、セキュリティ上の危険性を記載せずに“簡単ポート開放”と称してDMZにPCを配置する設定を推奨するものも見受けられたという。

【記事追記 10月26日18:51】
　記事公開後にBlueStack Systemsより連絡を受け、25日に公開した最新バージョン「4.31.59.3502」では、脆弱性の修正に加えて、ADBをデフォルトで無効とする変更が加えられておりましたので、その旨を追記しました。