Googleは10月18日(米国時間)、「Government-backed actors exploiting WinRAR vulnerability」において、国家支援を受けた脅威グループによりWinRARの脆弱性が悪用されているとして、注意を喚起した。このWinRARの脆弱性はCVE-2023-38831として追跡されており、脆弱性が悪用されると不正なコードが実行される可能性があるとされる(参考:「WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを | TECH+(テックプラス)」)。
Googleの脅威分析グループ(TAG)によると、ここ数週間で複数の国家支援を受ける脅威グループがWinRARの脆弱性を悪用して次のような攻撃を行ったという。
- ロシア軍の所属とされる脅威グループ「FROZENBARENTS(別名:SANDWORM)」 - 2023年9月6日、ウクライナのドローン軍事訓練学校になりすました電子メールキャンペーンにおいて、ドローンのトレーニングカリキュラムを含む無害なおとりPDF文章と、悪意のあるZIPファイルを配信
- ロシア軍の所属とされる脅威グループ「FROZENLAKE(別名:APT28)」 - 2023年9月4日、エネルギーインフラストラクチャを標的として悪意のあるZIPファイルを含む電子メールを配信。ほかにも複数の攻撃が確認されている
- 中国の支援を受けた脅威グループ「ISLANDDREAMS(別名:APT40)」 - 2023年8月下旬、パプアニューギニアを標的としたフィッシングキャンペーンにおいて、悪意のあるZIPファイルへのDropboxリンクを含むフィッシングメールを配信
WinRARの脆弱性はすでに修正パッチが公開されているにもかかわらず、その後も攻撃者によって広範囲で悪用されている。Googleはこの事実から、既知の脆弱性の悪用はサイバー攻撃において効果があると指摘している。また、このことはソフトウェアを常に最新の状態にアップデートすることの重要性と、ユーザーが簡単に最新の状態に維持できるようにするための取り組みが残されていることを示しているといえる。
このような攻撃からシステムを保護するために、WinRARを使用しているユーザーは速やかなアップデートが推奨されている。また、企業や組織の管理者は使用しているすべてのソフトウェアが最新であるかを確認し、必要に応じてアップデートを計画・実行されたい。