11月の月例パッチで修正されたIEのゼロデイ脆弱性、過去の攻撃と関連性見つかる

ファイア・アイは、11月の月例パッチで修正されたInternet Explorerの脆弱性「CVE-2013-3918」が、ゼロデイ攻撃に利用された背景を明らかにした。日本をターゲットにした9月のゼロデイ攻撃や「Operation Aurora」との共通点も見つかっている。

ゼロデイ攻撃に悪用された脆弱性は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」。日本マイクロソフトでは、11月の月例セキュリティ更新プログラム「MS13-090」で、「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することにより、すでに脆弱性を解消している。

脆弱性は、修正プログラムの提供以前よりゼロデイ攻撃に利用されており、ファイア・アイによれば、ウェブサイトにエクスプロイトを埋め込み、特定分野の関係者を狙う「水飲み場攻撃」に利用されていた。

ターゲットは、国家の安全保障に関連する政府や関連企業の関係者で、他ウェブサイトへの転送などは行っておらず、エクスプロイトが埋め込まれたサイトのみで攻撃が完結。攻撃に使用するプログラムをディスクに書き込まず、直接メモリに展開するため、フォレンジック調査が難しいのが特徴だった。また多層の難読化を駆使するなど、攻撃者は高度な技術を利用していたという。

さらに攻撃が巧妙であっただけでなく、ファイア・アイは、これまでに発生した別のサイバー攻撃との関連性を指摘している。

9月に当時未修正だったIEの脆弱性と未知のマルウェアを組み合わせ、日本の政府機関や関連企業を狙った水飲み場型のゼロデイ攻撃が記憶に新しいが、今回の攻撃に利用されたC＆Cサーバが利用するIPアドレスは、9月の攻撃と同じドメインの解決先となっているなど、これら攻撃が関連していることを突き止めた。

また不正プログラムに含まれる文字列が、GoogleやAdobe Systemsなど著名企業が標的とされた「Operation Aurora」のサンプルにも利用されており、関連する可能性があるという。

（Security NEXT - 2013/11/18 ） ツイート

PR

関連記事

先週注目された記事（2026年1月25日〜2026年1月31日）
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
先週注目された記事（2026年1月18日〜2026年1月24日）
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要
先週注目された記事（2026年1月11日〜2026年1月17日）
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処