今やゲーマー間で必須のコミュニケーションツールとなった感があるDiscord。そんなDiscordの招待リンクを悪用し、ゲーマーのPCにマルウェアを感染させようとする悪質なリンクが存在することを海外メディアCheck Point Researchが報じています。
「期限切れ」のリンクを再利用し、マルウェア感染へと誘導する巧妙な手口
Discordのサーバーへの招待リンクは「一時的紹介リンクの生成」「永続招待リンクの生成」「課金要素による自由な名前の招待リンクの生成」がありますが、今回問題視されているのは「一時的紹介リンクの生成」で作成された一時的紹介リンクと全く同じリンク先URLを「自由な名前の招待リンク」で作成するという方法です。これによって、一見招待者によるサーバーへの誘導リンクへと見せつつ、攻撃者のサーバーへ誘導するという手法となっています。
攻撃者のサーバーへ入った時点では「#verify」と名付けられたチャンネル以外何もなく、ユーザーはそのチャンネルを覗くように誘導されます。ここまでは一般的なDiscordサーバーでもよくある光景です。
しかし、そのチャンネル内に配置された「Verify」ボタンは実はダミーで、押した瞬間にクリップボードに悪意のあるWindows PowerShellの実行コードがコピーされ、その次に「認証失敗・再開手順」を装った、ユーザーに攻撃コードを実行させる手順が画面に表示されます。
ここで画面の表示通りに「Windowsキー+R」を押して悪意のあるPowerShellコードを実行してしまうと、ユーザーのPCにマルウェアがインストールされ、情報を盗み取られるという仕組みになっています。この仕組みは各種アンチウイルスソフトでも検出が難しいとされています。
海外メディアTechRaderやPCGamerの記事では『The Sims 4』の海賊版に関連したコミュニティで同様の攻撃手法をとった悪意あるDiscordサーバーがすでに見られるとしており、またこのマルウェアに一度感染すると根絶は困難である、と紹介しています。
別にDiscordに限った話ではないですが、悪質なマルウェアの感染を防ぐために、不審な「認証」や「OK」ボタンを押さないに越したことはありません。特に本来Discordで用いることがない、「Windowsキー+R」の入力をネット上で求められたら、ほぼ確実に悪意のあるコードを実行させるためと考えていいでしょう。そういった場面に出くわしたら書いてある内容に無批判に従わないで、一回調べてみることをお勧めします。
