Microsoft、「ms-appinstaller」プロトコルハンドラーを既定で無効化 ～マルウェアの標的に

悪意ある「MSIX」インストーラーを実行させてランサムウェアなどを送り込む手法が観測される

　米Microsoftは12月28日（現地時間）、「ms-appinstaller」プロトコルハンドラーを既定で無効にしたと発表した。2023年11月中旬以降、金銭の詐取を目論む複数のサイバー犯罪者がMSIX形式のインストーラーを介してランサムウェアを送り付ける事例が観測されたためだという。

　「MSIX」は、Windowsアプリケーションで広く採用されているインストールパッケージ「MSI」の後継。「MSI」を継承しつつも「ユニバーサル Windows プラットフォーム」（UWP）の「APPX」パッケージの長所を取り込んでおり、アプリケーションのアップデートが容易で、インストールやアンインストールでシステムが不安定になりにくく、ストリーミングインストールや差分アップデートをサポートするなど、ストレージやネットワークを有効に活用できるといった特徴がある。Webサイトからのインストールも可能で、その場合は「ms-appinstaller:?source=<パッケージのURL>」で始まるリンクを用意すればよい（「ms-appinstaller」プロトコル、URIスキーム）。

　ところが、この機能は「Storm-0569」、「Storm-1113」、「Sangria Tempest」、「Storm-1674」といったサイバー犯罪者の活動で用いられていることが、同社のセキュリティチーム「Microsoft Threat Intelligence」の調査で判明したとのこと。

　これらの攻撃は「Zoom」や「Tableau」、「TeamViewer」、「AnyDesk」といった有名アプリのダウンロードサイトになりすましたり、「Teams」チャットなどのMicrosoftサービスや悪意あるGoogle広告などを介してMSIXインストーラーを配信し、システムにさまざまなマルウェアを植え付ける。MSIXインストーラー、「ms-appinstaller」プロトコルが攻撃ルートとして選ばれたのは、「Microsoft Defender SmartScreen」やWebブラウザー内蔵の警告システムといったマルウェア対策メカニズムを回避できるためのようだ。

　同社は「Teams」チャットを介した攻撃に対し、外部ユーザーから送られてきたメッセージに承認・ブロック画面を表示するといった対策を実施しているが、それ以外の経路については個別の対応が難しい。そのため、システムコンポーネント「アプリ インストーラー」のビルド 1.21.3421.0以降で「ms-appinstaller」プロトコルハンドラーを既定で無効にしているとのこと。

システムコンポーネント「アプリ インストーラー」。自動更新機能でアップデートされるので、ユーザー側での対処は不要

　加えて、フィッシング耐性のある認証方法の導入、「Teams」ユーザーへの教育、インストールするソフトウェアが正規の発行元によって公開されていることの確認、マルウェア対策システムの適切な運用なども呼びかけている。