2017年10月25日

Kaspersky Lab、Adobe Flash Playerの脆弱性を突いた新たなゼロデイ攻撃を発見

Adobe Flash Playerの脆弱性「CVE-2017-11292」を標的にしたゼロデイ攻撃を実環境で検知しました。このエクスプロイトは、「BlackOasis」として知られるサイバー犯罪グループが10月10日の攻撃で使用したもので、Microsoft Word文書を介して商用マルウェア「FinSpy」に感染させます。

～サイバー犯罪グループが実環境でスパイウェアの配信に悪用～

[本リリースは、2017年10月16日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labは、Adobe Flash Playerの脆弱性を突いた新たなゼロデイ攻撃を検知しました。このエクスプロイトは、「BlackOasis」として知られるサイバー犯罪グループが10月10日の攻撃で使用したもので、Microsoft Word文書を介して商用マルウェア「FinSpy」に感染させます。Kaspersky Labはこの脆弱性をAdobeに報告し、同社はセキュリティアップデートを公開しました。

Kaspersky Labは、今回発見したAdobe Flash Playerの脆弱性「CVE-2017-11292」を標的にしたゼロデイ攻撃を実環境で確認しており、企業や政府機関に対し、Adobeのアップデートを速やかにインストールするように呼びかけています。この攻撃を実行したグループは、Kaspersky Labのグローバル調査分析チーム（GReAT）^※が2016年から追跡しているサイバー犯罪グループBlackOasisである可能性が高く、9月に報告されたMicrosoft製品の脆弱性「CVE-2017-8759」も悪用していると当社のリサーチャーはみています。

この脆弱性の悪用が成功すると、商用マルウェア「FinSpy（別名「FinFisher」）」が、標的のコンピューターにインストールされることが明らかになりました。FinSpyは、諜報活動を実施する国家や法執行機関に販売されている商用目的のマルウェアです。かつてはこのマルウェアは、法執行機関が地域の観察対象を監視する目的で使用されていましたが、BlackOasisは、世界中の幅広い標的に対してFinSpyを使用しています。FinSpyが世界規模での情報収集作戦を助長し、国と国が互いにFinSpyを使用しているという現状がうかがえます。

今回の攻撃で使用されたマルウェアはFinSpyの最新バージョンで、複数の分析回避技術を搭載しているため、フォレンジック分析が一段と困難になっています。

インストール後は標的コンピューター内に足がかりを築き、スイス、ブルガリア、オランダにある指令サーバーに接続して、さらなる指示を待ち、データを窃取します。

BlackOasisは中東の政治に関わる人物に幅広く関心を抱いていることが当社の調査により判明しており、その中には国連の重要人物、反体制派のブロガーや活動家、地域の報道機関の記者も含まれています。また、同地域に特に関連のある業種にも関心を抱いていると見ています。2016年に当社のリサーチャーは、BlackOasisがアンゴラに大きな関心を寄せていることを確認しており、発見されたおとり文書は、石油、マネーロンダリング、その他の活動に関係する人物が標的であるという可能性を示していました。BlackOasisはこのほか、国際的な活動家やシンクタンクにも関心を抱いています。BlackOasisの標的がこれまでに確認されている国は、ロシア、イラク、アフガニスタン、ナイジェリア、リビア、ヨルダン、チュニジア、サウジアラビア、イラン、オランダ、バーレーン、英国、アンゴラです。

Kaspersky Labのシニアマルウェアアナリストであるアントン・イワノフ（Anton Ivanov）は、次のように述べています。「ゼロデイ脆弱性を突いたエクスプロイトによるFinSpyの拡散を当社が確認したのは、今回で今年に入って3回目です。このマルウェアを展開する攻撃者は、以前はMicrosoft WordやAdobe製品の重大な問題を悪用していました。FinSpyソフトウェアと、今回解説したようなゼロデイエクスプロイトを併用した攻撃の数は、今後も増え続けていくものと考えられます」

カスペルスキー製品は、新たに発見された脆弱性を悪用するエクスプロイトを検知・ブロックします。

Kaspersky Labのエキスパートは、組織や企業のシステムとデータをこのような攻撃から保護するため、以下の対策を実施するよう推奨しています。

Flashを完全に無効にする。Flashを使用する場合は、ソフトウェアのキルビット機能を使用する。
すべてのネットワーク、システム、エンドポイントを対象に多層防御を実現する高度なセキュリティソリューションを導入する。
ソーシャルエンジニアリングによって悪意ある文書を開かせるケースや感染リンクをクリックさせるケースが多いため、従業員向けにこの手口に関する教育やトレーニングを実施する。
組織のITインフラストラクチャのセキュリティ評価を定期的に実施する。

Kaspersky Labでは、サイバー攻撃、インシデント、脅威を追跡して、お客様が気付いていない最新の関連情報を提供する脅威インテリジェンスサービスを提供しています。詳細については、intelreports@kaspersky.comまでお問い合わせください。

脅威存在痕跡（Indicators of Compromise：IOC）やYARAルールなどの技術的な詳細については、Securelistブログ「BlackOasis APT and new targeted attacks leveraging zero-day exploit」（英語）をご覧ください。

※ Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。