ファイア・アイはこのほど、9月に攻撃が確認された「オペレーションDeputyDog」と関連する、IEの脆弱性を悪用したゼロデイ攻撃を確認したとして注意を呼びかけた。
同社は都内で記者会見を開き、最高技術責任者(CTO)である三輪 信雄氏がゼロデイ攻撃の概要を説明した。
三輪氏は、今回のゼロデイ攻撃について「IEの脆弱性」であることが重要なポイントだと語る。「IEのゼロデイはブラックマーケットで価値がある。ブラックマーケットで取引するのに魅力的なだけではなく、もちろん攻撃者にとっても非常に魅力的な存在だ」という。
IEの未公開の脆弱性はそう簡単に見つかるものではなく、広範囲に攻撃されてもおかしくないものだ。マイクロソフトはCVE-2013-3918としてこの脆弱性を公開して、オフィスまで影響が及ぶことを明らかにしている。
今回、確認されたゼロデイ攻撃は国際的なNGO団体のWebサイトに、脆弱性を突くマルウェアが埋め込まれていたというもの。通常、このような攻撃はダウンロードされた後に自動で起動し、バックグラウンドで常駐するタイプが多くを占めるが、今回のマルウェアは「揮発性」(三輪氏)のタイプだという。
「メモリ上だけに存在して、コマンドを実行したら消えていく。PCを再起動した可能性もある」という。そのため、フォレンジック調査などではあぶり出すことのできないタイプのものだといえる。
「標的型攻撃といえば、長期間にわたって潜伏して情報を盗み取るケースが多いが、今回は揮発性のマルウェアを利用しており、全くしつこくない。APTらしくない攻撃だ」と三輪氏は語る。
通常はファイルスキャンなどでマルウェアを発見できるものの、このタイプのマルウェアはメモリスキャンを行わないと見つけることができない。FireEyeでは、サンドボックス型製品を提供しているため、今回の発見に繋がったという。
今後、日本に上陸する可能性も?
三輪氏は「標的型攻撃は被害を受ける方はもちろんのこと、攻撃者側も大変。技術力はもちろんこと、人も用意しないといけない」と話す。標的型攻撃は、SNSなどを絡めたソーシャルエンジニアリングが重要な要素となっており、プロジェクトを組むようにして攻撃を行わないとうまく行かない。
ただ、「APTはピンポイントに攻撃対象を絞り混むのが通例だが、オペレーションDeputyDogでは広く日本企業を対象としていた」という。そして、「今回のマルウェアはDeputyDogに用いられたものとソースコードが似ている。よって、同じ組織が関連しているのではないかと我々は分析している」と三輪氏は話す。
そのため、この攻撃は今後、日本を対象としてくる可能性があるという。ただし、FireEyeが検知済みであるため、全く同一のマルウェアを利用する可能性は低い。
「このタイプのマルウェアは、長期間潜伏できるものではないため、攻撃者にしてみれば攻撃効率は悪い。ただ、見つかりにくいという面では有効な手。ネットワークやサーバーの構成など内情を知るために使う可能性はあるだろう」(三輪氏)
アプライアンスなどを導入する企業はともかく、一般ユーザーはこのようなマルウェアに対してどのような防御策を講じれば良いのだろうか。
三輪氏は「IEを使わないことが最善。このタイプのマルウェアは、一般のウイルス対策製品では検知することができない」とアドバイスした。