セキュリティ研究者からエクスプロイトを購入し政府機関や法執行機関に販売しているZerodium社はサイバー攻撃者の間で人気のインスタントメッセージツールであるPidginのゼロデイ脆弱性を見つけた人に対して、最大1000万円(10万ドル)を支払う計画があることを発表しました。
同社のウェブサイトに掲載されたメッセージによると「我々は、Windowsおよび/またはLinux上のPidginの最新バージョンに影響を与えるリモートコード実行エクスプロイトを探しています。このエクスプロイトはメッセージを読む以外のユーザー操作を必要としないはずです。」とのことです。
同社はこれまでにもユーザから特定の脆弱性を要求された場合にバグ取得活動を行ってきました。
Zerodium社がPidginのゼロデイ脆弱性の取得に関心を持ったのは、Pidginアプリがサイバー犯罪のアンダーグラウンドで広く使用されているからであることはほぼ間違いありません。
Pidginは複数のインスタントメッセージング(IM)プロトコルに対応していますが、これまでの主な使用例は、XMPP(Jabber)プロトコルでメッセージをやり取りすることでした。
サイバー攻撃者は、ログを保存しない安全なサーバーにXMPP/JabberのIDを登録し、そのIDを使って連絡を取り合い操作やビジネスを取り決められるため、このアプリを好んで使っているようです。
レコーデッド・フューチャー社の脅威情報アナリストであるドミトリー・スミヤネッツ氏は、「チャットの安全性を保つために、犯罪グループやアンダーグラウンド・コミュニティは、OTR(Off The Record)やGnuPGの暗号化プラグインの使用をお互いに要求することが多いことがわかっています」と述べています。
Zerodium社はPidginのゼロデイ以外にも、サイバー犯罪のホスティングインフラによく使われるツールであるWordPress CMSとISPConfigウェブホスティングパネルのバグ取得活動も行っています
Comments