Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

11月の月例パッチで修正されたIEのゼロデイ脆弱性、過去の攻撃と関連性見つかる

ファイア・アイは、11月の月例パッチで修正されたInternet Explorerの脆弱性「CVE-2013-3918」が、ゼロデイ攻撃に利用された背景を明らかにした。日本をターゲットにした9月のゼロデイ攻撃や「Operation Aurora」との共通点も見つかっている。

ゼロデイ攻撃に悪用された脆弱性は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」。日本マイクロソフトでは、11月の月例セキュリティ更新プログラム「MS13-090」で、「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することにより、すでに脆弱性を解消している。

脆弱性は、修正プログラムの提供以前よりゼロデイ攻撃に利用されており、ファイア・アイによれば、ウェブサイトにエクスプロイトを埋め込み、特定分野の関係者を狙う「水飲み場攻撃」に利用されていた。

ターゲットは、国家の安全保障に関連する政府や関連企業の関係者で、他ウェブサイトへの転送などは行っておらず、エクスプロイトが埋め込まれたサイトのみで攻撃が完結。攻撃に使用するプログラムをディスクに書き込まず、直接メモリに展開するため、フォレンジック調査が難しいのが特徴だった。また多層の難読化を駆使するなど、攻撃者は高度な技術を利用していたという。

さらに攻撃が巧妙であっただけでなく、ファイア・アイは、これまでに発生した別のサイバー攻撃との関連性を指摘している。

9月に当時未修正だったIEの脆弱性と未知のマルウェアを組み合わせ、日本の政府機関や関連企業を狙った水飲み場型のゼロデイ攻撃が記憶に新しいが、今回の攻撃に利用されたC&Cサーバが利用するIPアドレスは、9月の攻撃と同じドメインの解決先となっているなど、これら攻撃が関連していることを突き止めた。

また不正プログラムに含まれる文字列が、GoogleやAdobe Systemsなど著名企業が標的とされた「Operation Aurora」のサンプルにも利用されており、関連する可能性があるという。

(Security NEXT - 2013/11/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
【速報】「Adobe Flash Player」が緊急アップデート - すでにゼロデイ攻撃が発生
Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
IEに未修正の脆弱性、APT攻撃に悪用との指摘
スマート電球など身近な複数IoT機器に脆弱性 - ファームウェアの確認を
「Drupal」に深刻な脆弱性、アップデートが準備中 - 攻撃コードに警戒を