2016年1月13日

Kaspersky Lab、Silverlightのゼロデイ脆弱性を発見：公開情報と独自の保護技術を駆使して追跡

2015年夏、「合法スパイウェア」の開発元として知られるHacking Team社が攻撃されたことを報じたArs Technicaの記事をきっかけに調査を開始しました。エクスプロイトの売り手に見当をつけ、コード作成の傾向からヒューリスティックの検知ルールを設定し、発見に至りました。

Kaspersky Labは、マルチメディアコンテンツの表示に使われるSilverlightのゼロデイ脆弱性を発見しました。この脆弱性が悪用されると、感染したコンピューターへのアクセス権が掌握され、悪意あるコードを実行して秘密情報を窃取するなどの違法な活動が可能になる恐れがあります。この脆弱性（CVE-2016-0034）は、Microsoftが2016年1月12日（日本での公開日:2016年1月13日）にリリースした最新の月例パッチの更新プログラムで修正されています。今回の発見は、5か月以上も前のArs Technicaの記事がきっかけとなっています。

2015年夏、「合法スパイウェア」の開発元として知られるHacking Team社が攻撃されたニュースは、大きな注目を集めました。この事件について報じたArs Technicaの記事では、Hacking Teamの関係者とエクスプロイト作成者であるVitaliy Toropov氏の間で交わされたとされる文書を取り上げ、Toropov氏が非常に興味深いゼロデイを同社に売却しようとしていた点を指摘していました。そのゼロデイは、MicrosoftのSilverlightに4年前から存在したパッチ未対応のエクスプロイトでした。この情報がKaspersky Labリサーチャーの目にとまりました。

Ars Technica の記事にはエクスプロイトに関するそれ以上の情報がなかったため、弊社のリサーチャーは売り手の名前をもとに調査を開始し、直ぐにVitaliy Toropovを名乗るユーザーに辿り着きました。Toropov氏は、脆弱性に関する情報を誰もが投稿可能なOpen Source Vulnerability Database（OSVDB）に、極めて頻繁に投稿していました。OSVBD.orgでのToropov氏の公開プロフィールから、Silverlight技術のバグについて説明した概念実証（POC）を2013年に公開していたことが明らかになりました。このPOCはすでにパッチが作成された既知の脆弱性を対象としていましたが、そのほかの詳細情報からエクスプロイト作成者のコード作成の傾向についてヒントを得ました。

弊社のリサーチャーはその後の分析で、非常に目立つ珍しい文字列をコード中に見つけ、その情報を使用してカスペルスキー製品の保護技術用に複数の検知ルールを作成しました。そして、クラウドベースのアンチウイルスネットワークであるKaspersky Security Network(KSN)^※1　に参加しているカスペルスキー製品ユーザーが、この特別な検知ルールで指定されたふるまいをするマルウェアに遭遇すると、KSNからの通知によってリサーチャーが解析をする仕組みをとりました。この方法は、Toropov氏がHacking Teamにゼロデイエクスプロイトを売却しようとしていたのであれば、他のスパイウェアベンダーにも売ろうと試みる可能性が非常に高いという、シンプルな仮定に基づいていました。

そして、この仮定は正しいものでした。特別な検知ルールを設定した数か月後、あるカスペルスキー製品ユーザーが標的となった攻撃で、弊社が探していた特徴を持つ不審なファイルの使用が認められました。その数時間後、おそらく標的になったと推測されるラオスのユーザーが、同じ特徴を持つファイルをオンラインのマルチスキャナーサービスにアップロードしました。弊社のエキスパートがこの攻撃を分析したところ、実際にSilverlightの未知のバグを悪用したことが判明したため、すぐにMicrosoftに報告し、検証を依頼しました。

Kaspersky Labの調査分析チーム（GReAT）^※2　ディレクター、コスティン・ライウ（Costin Raiu）は次のように述べています。「当社が発見したエクスプロイトが、Ars Technicaの記事で報じられたものなのか確証はありませんが、同一であると信じるに足る有力な根拠がありました。このファイルの分析と、Vitaliy Toropov氏の過去の制作物を比較すると、発見されたエクスプロイトの作成者とOSVDBにおいてToropov名義で公開されたPOCの作成者は、同一人物であると考えられます。一方、これがSilverlightのほかの新たなゼロデイエクスプロイトである可能性も完全には排除できていません。私たちは、Microsoft製品の全ユーザーに対し、可能な限り早期にシステムを更新し、脆弱性にパッチを適用するよう推奨します」

カスペルスキー製品では、ヒューリスティックをはじめとする多重防御の仕組みによって、CVE-2016-0034のエクスプロイトを以下の検知名で検出・ブロックします。
HEUR:Exploit.MSIL.Agent.gen

この脆弱性の発見について詳しくは、Securelist.comをご覧ください。 Kaspersky Labの高度なセキュリティ技術と製品の詳細については、こちらをご覧ください。

※1 Kaspersky Security Network
クラウドベースのアンチウイルスネットワーク。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSN に接続されたすべてのコンピューターを保護します。

※2 GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。