検索
ニュース

IEを狙ったゼロデイ攻撃は「練習」? ファイア・アイが解説攻撃者は準備を整え、“弾”もいくつか持っている?

ファイア・アイは2013年11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用した攻撃「Ephemeral Hydra」に関する説明会を開催した。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ファイア・アイは2013年11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用した攻撃に関する説明会を開催した。同社はこの攻撃を「Ephemeral Hydra」と命名している。いくつかの特徴から判断すると、「今回の攻撃は単なる練習や情報収集に過ぎず、ほかにも“弾”を仕込んであるのではないか」(同社最高技術責任者、三輪信雄氏)という可能性があるという。


ファイア・アイ 最高技術責任者の三輪信雄氏

 Ephemeral Hydraは、IEのActiveXに存在する脆弱性を突いた攻撃コードだ。安全保障問題に関心を持つユーザーがよくアクセスする米国のNGOのWebサイトが改ざんされ、埋め込まれていた。発見当初はパッチが存在しないゼロデイ脆弱性だったが、マイクロソフトは11月13日の月例セキュリティアップデートでこの問題を修正している(関連記事)。

 サンドボックス技術を用いてEphemeral Hydraを発見したファイア・アイによると、この攻撃にはいくつかの特徴がある。1つは、メモリ上でのみ動作し、ファイルを残さないため、PCを再起動すると消えてしまうこと。ターゲットを絞ったAPTの一種と考えられるが、「しつこくないAPT」(三輪氏)といえる。長期にわたってPCに潜伏して情報を盗み出す標的型攻撃にしては効率が悪いが、「ヒット&アウェイで、見つけにくい」(同氏)ということでもある。

 しかも、IEのゼロデイ脆弱性という、やりようによっては多くのユーザーを狙える脆弱性を悪用しておきながら、同社では、コードが埋め込まれたサイトは少なくとも1個所しか把握していない。それも、iframeを書き換えて感染用の別のサイトからマルウェアをダウンロードさせる、といった手間を掛けるわけでもなく、同一サイトにコードが置かれていただけだったという。

 つまり攻撃者は、ゼロデイ脆弱性を見つけ出すだけの技術力を持っていながら、小規模かつ単純な方法でEphemeral Hydraを仕掛けた。そう考えていくと、「今回の攻撃は、次の攻撃を見つかりにくくするための『練習』かもしれない」と三輪氏は述べている。

相手は準備を整え、脆弱性のストックを持っている

 もう1つの特徴は、いくつかの過去の攻撃との間に共通点が見られることだ。具体的には、2013年8月から9月にかけて、日本の組織や企業もターゲットになったゼロデイ攻撃(同社は「DeputyDog」と称している)で、感染したマシンが接続を試みるC&Cサーバに同一のドメイン名が含まれていた(関連記事)。

 さらに、今回得られた検体のコードには、2010年に明らかになった大規模攻撃「Operation Aurora」で使われたマルウェアと共通する文字列が含まれていた。

 こうした情報を総合すると、同一の組織が、数年のスパンにわたって一連の攻撃に関与している可能性が高いと考えられる。「脆弱性を探すのが得意な多数の人間が関わる組織が、勝手気ままに思いつきで攻撃を行うのではなく、プロジェクト的に攻撃を実行している。おそらくいくつか脆弱性のストックがあって、その時々の目的に応じて攻撃を行ってくるのではないか」(三輪氏)。

 従って、従来のウイルスと同じような考えでは、こうした攻撃には対策できないと三輪氏は述べた。「パッチを当てたからいい、というわけではない。次に日本を狙うときには、また別のゼロデイ脆弱性を使うかもしれない」(同氏)。

 現時点で、Ephemeral Hydraに備えてすぐに実施できる対策となると、「IEを使わない」(三輪氏)。業務アプリケーションの都合上IEを使わざるを得ない環境ならば、「社内はIE、外のサイトにアクセスするときはほかのブラウザを使う、といった具合に使い分けるといいのでは」という。

 この数年間、ベンダの努力によって、Windows OSをはじめソフトウェア側の防御は格段に向上してきた。しかし、「攻撃側もそれ以上に必死にやってくるため、結果は変わらない。たとえIEのセキュリティレベルが上がったとしても、今度はJavaやPDFなどほかのものを狙ってくるかもしれない」(同氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る