Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

11月の月例パッチで修正されたIEのゼロデイ脆弱性、過去の攻撃と関連性見つかる

ファイア・アイは、11月の月例パッチで修正されたInternet Explorerの脆弱性「CVE-2013-3918」が、ゼロデイ攻撃に利用された背景を明らかにした。日本をターゲットにした9月のゼロデイ攻撃や「Operation Aurora」との共通点も見つかっている。

ゼロデイ攻撃に悪用された脆弱性は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」。日本マイクロソフトでは、11月の月例セキュリティ更新プログラム「MS13-090」で、「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することにより、すでに脆弱性を解消している。

脆弱性は、修正プログラムの提供以前よりゼロデイ攻撃に利用されており、ファイア・アイによれば、ウェブサイトにエクスプロイトを埋め込み、特定分野の関係者を狙う「水飲み場攻撃」に利用されていた。

ターゲットは、国家の安全保障に関連する政府や関連企業の関係者で、他ウェブサイトへの転送などは行っておらず、エクスプロイトが埋め込まれたサイトのみで攻撃が完結。攻撃に使用するプログラムをディスクに書き込まず、直接メモリに展開するため、フォレンジック調査が難しいのが特徴だった。また多層の難読化を駆使するなど、攻撃者は高度な技術を利用していたという。

さらに攻撃が巧妙であっただけでなく、ファイア・アイは、これまでに発生した別のサイバー攻撃との関連性を指摘している。

9月に当時未修正だったIEの脆弱性と未知のマルウェアを組み合わせ、日本の政府機関や関連企業を狙った水飲み場型のゼロデイ攻撃が記憶に新しいが、今回の攻撃に利用されたC&Cサーバが利用するIPアドレスは、9月の攻撃と同じドメインの解決先となっているなど、これら攻撃が関連していることを突き止めた。

また不正プログラムに含まれる文字列が、GoogleやAdobe Systemsなど著名企業が標的とされた「Operation Aurora」のサンプルにも利用されており、関連する可能性があるという。

(Security NEXT - 2013/11/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MSP経由で不正アクセス、提供ソフトにゼロデイ脆弱性 - 三菱パワー
FireEyeの調査ツールが盗難、国家支援受ける攻撃者の手に - 対策ツールを公開
VMware複数製品の脆弱性、ロシア攻撃グループが悪用か - 米政府主張
標的型攻撃のレスキュー支援、2020年上半期は45件
さよなら「Adobe Flash Player」 - 2020年末でサポート終了
10月中旬よりWPプラグイン「File Manager」の探索行為が増加
「Microsoft Edge」にアップデート - ゼロデイ脆弱性に対処
「macOS High Sierra」「Mojave」向けにアップデート - ゼロデイ脆弱性を修正
「Chrome」に2件のゼロデイ脆弱性 - 緊急更新を実施
「Chrome 86.0.4240.111」が公開 - 悪用済みのゼロデイ脆弱性を修正