2014年10月、「Sandworm Team」と呼ばれる集団によって諜報目的のサイバー攻撃キャンペーンが実行され、数多くの報告がなされました。この事例の中心となったのは、サポートライフサイクル中のすべての Microsoft Windows と Windows Server 2008・2012 に影響を与えるゼロデイ脆弱性です。
トレンドマイクロの解析によると、Microsoft Windows および Server の「Object Linking and Embedding(OLE)パッケージマネジャ」に存在する脆弱性を攻撃することにより、攻撃者は遠隔から不正プログラムを実行することができます。第一報では、この脆弱性は複数の機関や産業セクターへの標的型攻撃または標的型サイバー攻撃に利用されたと伝えられました。また、弊社の分析によると、この攻撃は「SCADA(産業制御システム)」のユーザを狙った攻撃と関連していることが判明しました。さらに、時を置かずに、PowerPoint ファイル(拡張子 PPSX)に埋め込まれた不正なファイルを用い、新たな回避技術を利用した別の攻撃でも、この脆弱性が利用されたことが確認されました。
■新旧の脆弱性の利用
ゼロデイ脆弱性だけが、標的型サイバー攻撃に利用される脆弱性ではありません。2014年前半、弊社では、攻撃者が古い脆弱性を頻繁に狙っているのを確認しました。その最たる例は、Windows コモン コントロールに存在する脆弱性「CVE-2012-0158」です。2012年初めには更新プログラムがすでに公開されていたにもかかわらず、この脆弱性は、標的型攻撃キャンペーン「PLEAD」といった標的型サイバー攻撃における重要な攻撃手段となりました。
もちろん、これは 2014年にゼロデイ脆弱性の影響が全くなかったという意味ではありません。Windows のゼロデイ脆弱性を利用した標的型サイバー攻撃が、複数の大使館を狙ったことが判明しています。この脆弱性の更新プログラムは数日後に公開されました。注意すべきことは、この脆弱性の影響を受ける Windows XP のサポートが終了する数日前に、この攻撃が実行されたということです。また、別のゼロデイ脆弱性も、標的型攻撃キャンペーン「Taidoor」の背後にいる攻撃者により頻繁に攻撃に利用されていました。このゼロデイ脆弱性は 2014年3月末に確認され、4月の定例セキュリティ更新で更新プログラムが公開されています。
■新旧の脆弱性の補完関係
特に深刻と見なされる脆弱性には、ソフトウェア会社からほぼ必ず修正プログラムが公開されます。しかし、修正プログラムが公開されていたとしても、すべてのユーザや企業が速やかに適用するとは限りません。その理由の 1つは、修正プログラムの適用は、業務の妨げになるからかもしれません。もしくは、企業の環境に修正プログラムを適用する前に試験をする必要があり、それが理由で適用が大幅に遅れる可能性があります。
こうした状況から、攻撃者は信頼性のある古い脆弱性を好みます。標的としたネットワークや企業には、有効性が実証された古い脆弱性が存在する可能性があります。こうした脆弱性は長い間存在しているため、攻撃者がその脆弱性を攻撃するのに最適な不正プログラムを作成するのは比較的容易なように見えます。
一方、比較的新しい脆弱性は、攻撃者を優位に立たせることができます。ゼロデイ脆弱性は、セキュリティ企業も含め、すべてのユーザを無防備にします。ソフトウェア企業が必要なセキュリティ対策や修正プログラムを緊急で準備をしている間にも、ゼロデイ脆弱性を利用した攻撃により、この「保護のない穴」を利用して最も防御された環境でさえ攻撃し、影響を与えるかもしれません。その意味では、ゼロデイ脆弱性を狙った攻撃は、より効果的でより危険性が高いと言えるでしょう。
■狙われるサポート終了後の OS
ゼロデイ脆弱性は、影響を受けるプラットフォームが古いか、もしくはサポートが終了していた場合、さらに効果的となります。修正プログラムが公開されていないため、初めはゼロデイ脆弱性として攻撃に利用された「保護のない穴」も、恒久的なものとなってしまいます。
標的型攻撃で利用された Internet Explorer(IE)に存在する脆弱性も、まさにこのケースでした。脆弱性「CVE-2014-1776」は、当初 Windows XP に対する更新プログラムが Microsoft から公開されないと報道されたため、かなりの注目を集めました。しかし、当 OS への更新プログラムはまもなく公開されました。
■トレンドマイクロの対策
標的型サイバー攻撃に対処することは、正しいツールを持つだけでなく、正しい心構えを持つことが求められます。本ブログ記事「IT管理者が持つ、標的型攻撃対策 5つの誤解」では、ネットワークのセキュリティに大きな影響を与える可能性のある誤解を列挙しました。その中に、標的型攻撃は必ずゼロデイ脆弱性を利用するという誤解があります。これまで見てきたように、攻撃者が利用するのはゼロデイ脆弱性に限りません。実際、古い脆弱性はゼロデイ脆弱性よりも好まれます。このことは、すべての修正プログラムは公開され次第、すべて適用することの重要性を強調しています。
ゼロデイ攻撃に対処することはさらに困難ですが、不可能ではありません。仮想パッチといった対策により、ゼロデイ脆弱性やサポートが終了した OS に存在する脅威を軽減します。攻撃者を引きつけるハニーポットは、初期段階で攻撃を警告します。また、ヒューリスティック検索と「仮想環境(サンドボックス)」の保護により、不審なファイルを検出し、ネットワークに影響を与えずに仮想環境下で不正ファイルを実行することが可能です。企業はまた、従業員への教育も検討するとよいでしょう。「標的型メール」が標的型サイバー攻撃の初期侵入となることが頻繁にあります。従業員が不審なメールに注意を払うよう教育を受けていた場合、ネットワークの防御は格段に向上するでしょう。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、上述のゼロデイ脆弱性利用の攻撃から保護されます。
- 1005801 – Microsoft Windows Kernel Elevation Of Privilege Vulnerability (CVE-2013-5065)
- 1005989 – Identified Malicious C&C Server SSL Certificate (For CVE-2014-1761)
- 1005990 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)
- 1006000 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761) -1
- 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)
- 1006045 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)- 1
協力執筆者:Ziv Chang
参考記事:
by Trend Micro
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)