初めに
C#のデコンパイラILSpyをインストールしようとしたところ、誤ってGitHubではなくWebサイトからダウンロードしようとしてしまい、フィッシングサイトだったのかインフォスティーラーの被害にあいました。
この記事を書こうと思った理由は、私同様技術に興味や関心がある新人プログラマーさんや、これからILSpyをインストールしようとしている人に向けて注意喚起をしたいと思ったからです。
感染した環境
ソフトウェア類
- OS: Windows 11 Home
- ブラウザ: Chrome
- 検索エンジン: Google
ハードウェア類(参考までに)
- CPU: Intel Core i5 13500
- RAM: DDR4 3200MHz 32GB
- SSD: NVMe Gen3 2TB
- GPU: RTX4060
感染経緯
- ILSpyをインストールしようとしてGoogleで『ilspy』と検索
- 一番上の『https://ilspy[.]org/(クリックしないで)』のサイトにアクセス
- DownLoadボタンをクリックするとReCAPTUREの認証画面へ
- このコマンドをcmdで入力してくださいと言われ勝手にcmdが起動
- Enterを押したら裏側でDLが走り感染
通常WebサイトからダウンロードしたファイルはDownLoadディレクトリに保存されると思いますが、今回は保存されませんでした。そこで、タスクバーの検索から調べるとインストーラーが見つかり、インストールしようとすると通常のILSpyのインストーラーらしきものが立ち上がりました。
しかし、ILSpyのダウンロードは通常GitHubの公式リポジトリから行うものであり、サイトからのダウンロードは通常の手段でないことが判明しました。
感染のサイン
Core i5 13500と32GBのメモリを積んでいるスペックのPCですが、ダウンロードした後わずかにPCの挙動が重たくなりました。 CPUの負荷はそこまでかかっていなかったように感じましたが、メモリを大量に消費していたのだと思われます。
また実際に私のInstagramのアカウントを乗っ取られる被害が発生したり、複数のGoogleアカウントで不審なアクティビティが検出されたりしました。
技術的な分析
今回検出されたウイルス
Torojan:Script/Wacatac.B!ml
『Trojan:Script/Wacatac.B!ml』は、Windows Defenderなどのセキュリティソフトによって検出される、非常に広範囲な脅威を指す検出名です。
この名称に含まれる「!ml」という表記は、Machine Learning(機械学習) によって検知されたことを示しており、特定のウイルスというよりは「怪しい挙動をするスクリプト」の総称と考えるのが適切です。
Wacatac.B!mlの正体
多くの場合JavaScript、VBScript、PowerShellなどのスクリプト形式で感染します。
そもそもReCAPTURE認証の段階で抜かれてた?!
ダウンロード中や認証中、ブラウザの挙動が非常に重たかった記憶があります。認証をしているように見せかけた偽のReCAPTUREの裏側で、悪意のあるスクリプトがcookie情報やクレカの情報を盗んでいたのでしょう。
クリーンアップ手順
たった1つのミスでとんでもないことになってしまいましたが、以下に自分が行ったクリーンアップを記述します。
- Microsoftアカウントの全デバイスのセッション切断とパスワード変更
- Googleアカウントの全デバイスのセッション切断とパスワード変更
- Amazonアカウントの全デバイスのセッション切断とパスワード変更
- Azureポータルで不正なインスタンスが作成されていないかチェック
- 感染したPCのLANケーブルを切断し、物理的にネット環境から隔離
- デビットカードの利用停止
- 携帯キャリアアカウントのパスワード変更
- GitHubで不正な操作がされていないかの確認と2段階認証の強化
- 1Passwordの導入
- 感染したPCのOSをクリーンインストール
まとめ
今回起きたことは正直自分のミスによるものなので誰かにツッコまれてもぐうの音も出ません。 しかし、自分がセキュリティの脅威にたたされた際、冷静かつ迅速に対応する大切さを学びました。
プログラミングに関するツールを入手する際、Webサイトの情報だけを鵜呑みにするのではなく、GitHubの公式リポジトリの確認や複数の情報を基に総合的に判断をすることが大切だと思いました。また、cmdを入力しろといったWebのサンドボックスの環境を超えさせるような操作は絶対行なわないようにしましょう。