Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

11月の月例パッチで修正されたIEのゼロデイ脆弱性、過去の攻撃と関連性見つかる

ファイア・アイは、11月の月例パッチで修正されたInternet Explorerの脆弱性「CVE-2013-3918」が、ゼロデイ攻撃に利用された背景を明らかにした。日本をターゲットにした9月のゼロデイ攻撃や「Operation Aurora」との共通点も見つかっている。

ゼロデイ攻撃に悪用された脆弱性は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」。日本マイクロソフトでは、11月の月例セキュリティ更新プログラム「MS13-090」で、「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することにより、すでに脆弱性を解消している。

脆弱性は、修正プログラムの提供以前よりゼロデイ攻撃に利用されており、ファイア・アイによれば、ウェブサイトにエクスプロイトを埋め込み、特定分野の関係者を狙う「水飲み場攻撃」に利用されていた。

ターゲットは、国家の安全保障に関連する政府や関連企業の関係者で、他ウェブサイトへの転送などは行っておらず、エクスプロイトが埋め込まれたサイトのみで攻撃が完結。攻撃に使用するプログラムをディスクに書き込まず、直接メモリに展開するため、フォレンジック調査が難しいのが特徴だった。また多層の難読化を駆使するなど、攻撃者は高度な技術を利用していたという。

さらに攻撃が巧妙であっただけでなく、ファイア・アイは、これまでに発生した別のサイバー攻撃との関連性を指摘している。

9月に当時未修正だったIEの脆弱性と未知のマルウェアを組み合わせ、日本の政府機関や関連企業を狙った水飲み場型のゼロデイ攻撃が記憶に新しいが、今回の攻撃に利用されたC&Cサーバが利用するIPアドレスは、9月の攻撃と同じドメインの解決先となっているなど、これら攻撃が関連していることを突き止めた。

また不正プログラムに含まれる文字列が、GoogleやAdobe Systemsなど著名企業が標的とされた「Operation Aurora」のサンプルにも利用されており、関連する可能性があるという。

(Security NEXT - 2013/11/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
WP向けソーシャルボタンプラグインにゼロデイ攻撃 - アップデートが緊急公開
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「Chrome」へのゼロデイ攻撃が明らかに - 早急に最新版へ更新を
WP向け寄付管理プラグインに深刻な脆弱性 - ゼロデイ攻撃発生中
2019年最初のMS月例パッチ - 脆弱性49件を解消
Windowsにゼロデイ脆弱性 - ALPC脆弱性と同一人物が再度調整なしにコード公開
MS、IE向けに緊急定例外アップデート - ゼロデイ攻撃が発生
画像ファイルに悪用コード隠す「ステガノグラフィ」 - 無償ツールが拡大後押しか