ゼロデイ脆弱性を利用した攻撃は、ソフトウェア企業から修正プログラムが公開されておらず、効果的に攻撃できるため、標的型サイバー攻撃で利用され続けています。トレンドマイクロは、標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」に対する継続した調査、監視の中で、Java の脆弱性をホストした不正な URL を確認しました。そして、この不正な URL で使用されている脆弱性に対する修正プログラムは Oracle社からまだ公開されていない未修整状態であること、つまり、ゼロデイ脆弱性であることも確認しました。Java に存在する新たなゼロデイ脆弱性が確認されたのは、約 2年ぶりです。
弊社の調査によると、Java の最新バージョン「1.8.0.45」は、この脆弱性の影響を受けますが、古いバージョンの Java 1.6 および 1.7 は影響を受けません。弊社はすでに Oracle社に報告し、この脅威に対して同社のセキュリティチームと協力して調査しています。新しい情報や調査結果が入り次第、本ブログにてお知らせします。弊社は、本記事において、このゼロデイ脆弱性を利用した攻撃が実行される恐れについて注意喚起します。
なお、このゼロデイ脆弱性は、「Hacking Team」の情報漏えい事例とは無関係です。「Pawn Storm 作戦」の攻撃者グループは、Java のゼロデイ脆弱性を独自に発見もしくは情報入手し、自身の攻撃に利用したものと考えられています。
■ゼロデイ脆弱性を利用した「Pawn Storm 作戦」
弊社は、このゼロデイ脆弱性を利用した攻撃を、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を通じて検出しました。NATO に加盟する国の軍事組織や米国の防衛機関を狙った Eメールには、この Java のエクスプロイトコードをホストする不正な URL が含まれていました。
この Java のゼロデイ脆弱性をホストした URL は、2015年4月に「北大西洋条約機構(NATO)」の関係者やアメリカ大統領官邸(ホワイトハウス)を狙った「Pawn Storm 作戦」で利用された URL と類似しています。しかし、当時、今回の脆弱性はこれらの URL にホストされていませんでした。「Pawn Storm 作戦」はまた、「アジア太平洋経済協力(Asia-Pacific Economic Cooperation、APEC)フォーラム」や「中東国土安全保障サミット 2014」などの政治的な行事をソーシャルエンジニアリングの餌として利用し、ヨーロッパや米国以外の国の機関も狙いました。軍事や政府機関の他、メディアや防衛関連企業もこの攻撃キャンペーンの標的となりました。
問題の脆弱性が利用されると、Java の初期設定状態で任意のコードを実行され、感染PC が乗っ取られることになります。このエクスプロイトコードは、弊社の製品で「JAVA_DLOADR.EFD」として検出されます。また、「TROJ_DROPPR.CXC」として検出される不正プログラムは、フォルダ「login user」に「TSPY_FAKEMS.C」を作成します。
トレンドマイクロ製品をご利用のユーザは、この脅威から守られています。弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」のサンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。ブラウザ向け脆弱性利用対策技術「ブラウザガード」を搭載する「ウイルスバスター クラウド」や「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」、「ウイルスバスター ビジネスセキュリティ」といったネットワーク端末へのセキュリティ対策製品は、エクスプロイトコードをホストする URL にアクセスするタイミングでエクスプロイトコードをブロックします。「ブラウザガード」はまた、ブラウザや関連したプラグインを狙うエクスプロイトコードから保護します。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
- 1006857 – Oracle Java SE Remote Code Execution Vulnerability
ブラウザに Java がインストールされている場合は、無効にすることを推奨します。Java の安全な使用方法については、ブログ記事「How to Use Java ? If You Must(英語情報)」もご参照下さい。
今回の脅威に関連するハッシュ値は以下のとおりです。
- b4a515ef9de037f18d96b9b0e48271180f5725b7
- 21835aafe6d46840bb697e8b0d4aac06dec44f5b
また、「Pawn Storm 作戦」に関しては、下記の記事もご参照下さい。
- 諜報活動を目的とする「Pawn Storm 作戦」に不正なiOSアプリを確認
/archives/10870 - 「Pawn Storm 作戦」の精力的な活動を確認、NATOやホワイトハウスを標的に
/archives/11331 - Pawn Storm Espionage Attacks Use Decoys, Deliver SEDNIT(英語情報)
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/pawn-storm-espionage-attacks-use-decoys-deliver-sednit - Operation Pawn Storm: Putting Outlook Web Access Users at Risk(英語情報)
http://blog.trendmicro.com/trendlabs-security-intelligence/operation-pawn-storm-putting-outlook-web-access-users-at-risk/ - Pawn Storm: First Java Zero-Day Attack in Two Years Targets NATO & US Defense Organizations(英語情報)
http://blog.trendmicro.com/pawn-storm-first-java-zero-day-attack-in-two-years-targets-nato-us-defense-organizations/
【更新情報】
| 2015/7/15 | 15:30 | Oracle社は、7月の定例のセキュリティアップデート「Oracle Java SE Critical Patch Update Advisory – July 2015」を公開しました。この更新プログラムにより、新たに確認された 193 の脆弱性が更新されました。この中には、弊社が今回報告したゼロデイ脆弱性も含まれ、CVE識別子「CVE-2015-2590」が割り当てられました。この脆弱性「CVE-2015-2590」について注意すべきは、本記事で報告したとおり、現在進行中の標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」で利用されている点です。 |
協力執筆者:Peter Pi、Jack Tang および Weimin Wu
参考記事:
- 「 Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit」
by Threats Analyst – Brooks Li and Senior Threat Researcher – Feike Hacquebord
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)