Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

11月の月例パッチで修正されたIEのゼロデイ脆弱性、過去の攻撃と関連性見つかる

ファイア・アイは、11月の月例パッチで修正されたInternet Explorerの脆弱性「CVE-2013-3918」が、ゼロデイ攻撃に利用された背景を明らかにした。日本をターゲットにした9月のゼロデイ攻撃や「Operation Aurora」との共通点も見つかっている。

ゼロデイ攻撃に悪用された脆弱性は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」。日本マイクロソフトでは、11月の月例セキュリティ更新プログラム「MS13-090」で、「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することにより、すでに脆弱性を解消している。

脆弱性は、修正プログラムの提供以前よりゼロデイ攻撃に利用されており、ファイア・アイによれば、ウェブサイトにエクスプロイトを埋め込み、特定分野の関係者を狙う「水飲み場攻撃」に利用されていた。

ターゲットは、国家の安全保障に関連する政府や関連企業の関係者で、他ウェブサイトへの転送などは行っておらず、エクスプロイトが埋め込まれたサイトのみで攻撃が完結。攻撃に使用するプログラムをディスクに書き込まず、直接メモリに展開するため、フォレンジック調査が難しいのが特徴だった。また多層の難読化を駆使するなど、攻撃者は高度な技術を利用していたという。

さらに攻撃が巧妙であっただけでなく、ファイア・アイは、これまでに発生した別のサイバー攻撃との関連性を指摘している。

9月に当時未修正だったIEの脆弱性と未知のマルウェアを組み合わせ、日本の政府機関や関連企業を狙った水飲み場型のゼロデイ攻撃が記憶に新しいが、今回の攻撃に利用されたC&Cサーバが利用するIPアドレスは、9月の攻撃と同じドメインの解決先となっているなど、これら攻撃が関連していることを突き止めた。

また不正プログラムに含まれる文字列が、GoogleやAdobe Systemsなど著名企業が標的とされた「Operation Aurora」のサンプルにも利用されており、関連する可能性があるという。

(Security NEXT - 2013/11/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NTTドコモのLG製モバイルルータに脆弱性 - リモートよりコード実行のおそれ
マカフィー、コンシューマー向けに新版をリリース - クラウドによる機械学習を活用
「Apache Tomcat」脆弱性の探索行為、10月10日ごろより発生
Windows、10月パッチで「KRACK」対応済み - MS「悪用可能性低い」
「Flash Player」が緊急アップデート - ゼロデイ攻撃が発生
「Flash Player」へのゼロデイ攻撃、「BlackOasis」が関与か - 「FinFisher」感染狙い
MS、10月の月例パッチで脆弱性62件を修正 - ゼロデイ攻撃確認済みの脆弱性も
脆弱性解消した「Apache Tomcat 8.0.47」「同7.0.82」がリリース
「Apache Tomcat」にアップデート、ゼロデイ脆弱性へ対応 - 一部は準備中
ペアリング不要、近隣端末を「Bluetooth」乗っ取れる「BlueBorne」 - 53億台に影響か