検索
ニュース

IEを狙ったゼロデイ攻撃は「練習」? ファイア・アイが解説攻撃者は準備を整え、“弾”もいくつか持っている?

ファイア・アイは2013年11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用した攻撃「Ephemeral Hydra」に関する説明会を開催した。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ファイア・アイは2013年11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用した攻撃に関する説明会を開催した。同社はこの攻撃を「Ephemeral Hydra」と命名している。いくつかの特徴から判断すると、「今回の攻撃は単なる練習や情報収集に過ぎず、ほかにも“弾”を仕込んであるのではないか」(同社最高技術責任者、三輪信雄氏)という可能性があるという。


ファイア・アイ 最高技術責任者の三輪信雄氏

 Ephemeral Hydraは、IEのActiveXに存在する脆弱性を突いた攻撃コードだ。安全保障問題に関心を持つユーザーがよくアクセスする米国のNGOのWebサイトが改ざんされ、埋め込まれていた。発見当初はパッチが存在しないゼロデイ脆弱性だったが、マイクロソフトは11月13日の月例セキュリティアップデートでこの問題を修正している(関連記事)。

 サンドボックス技術を用いてEphemeral Hydraを発見したファイア・アイによると、この攻撃にはいくつかの特徴がある。1つは、メモリ上でのみ動作し、ファイルを残さないため、PCを再起動すると消えてしまうこと。ターゲットを絞ったAPTの一種と考えられるが、「しつこくないAPT」(三輪氏)といえる。長期にわたってPCに潜伏して情報を盗み出す標的型攻撃にしては効率が悪いが、「ヒット&アウェイで、見つけにくい」(同氏)ということでもある。

 しかも、IEのゼロデイ脆弱性という、やりようによっては多くのユーザーを狙える脆弱性を悪用しておきながら、同社では、コードが埋め込まれたサイトは少なくとも1個所しか把握していない。それも、iframeを書き換えて感染用の別のサイトからマルウェアをダウンロードさせる、といった手間を掛けるわけでもなく、同一サイトにコードが置かれていただけだったという。

 つまり攻撃者は、ゼロデイ脆弱性を見つけ出すだけの技術力を持っていながら、小規模かつ単純な方法でEphemeral Hydraを仕掛けた。そう考えていくと、「今回の攻撃は、次の攻撃を見つかりにくくするための『練習』かもしれない」と三輪氏は述べている。

相手は準備を整え、脆弱性のストックを持っている

 もう1つの特徴は、いくつかの過去の攻撃との間に共通点が見られることだ。具体的には、2013年8月から9月にかけて、日本の組織や企業もターゲットになったゼロデイ攻撃(同社は「DeputyDog」と称している)で、感染したマシンが接続を試みるC&Cサーバに同一のドメイン名が含まれていた(関連記事)。

 さらに、今回得られた検体のコードには、2010年に明らかになった大規模攻撃「Operation Aurora」で使われたマルウェアと共通する文字列が含まれていた。

 こうした情報を総合すると、同一の組織が、数年のスパンにわたって一連の攻撃に関与している可能性が高いと考えられる。「脆弱性を探すのが得意な多数の人間が関わる組織が、勝手気ままに思いつきで攻撃を行うのではなく、プロジェクト的に攻撃を実行している。おそらくいくつか脆弱性のストックがあって、その時々の目的に応じて攻撃を行ってくるのではないか」(三輪氏)。

 従って、従来のウイルスと同じような考えでは、こうした攻撃には対策できないと三輪氏は述べた。「パッチを当てたからいい、というわけではない。次に日本を狙うときには、また別のゼロデイ脆弱性を使うかもしれない」(同氏)。

 現時点で、Ephemeral Hydraに備えてすぐに実施できる対策となると、「IEを使わない」(三輪氏)。業務アプリケーションの都合上IEを使わざるを得ない環境ならば、「社内はIE、外のサイトにアクセスするときはほかのブラウザを使う、といった具合に使い分けるといいのでは」という。

 この数年間、ベンダの努力によって、Windows OSをはじめソフトウェア側の防御は格段に向上してきた。しかし、「攻撃側もそれ以上に必死にやってくるため、結果は変わらない。たとえIEのセキュリティレベルが上がったとしても、今度はJavaやPDFなどほかのものを狙ってくるかもしれない」(同氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  7. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る