2018年10月15日

カスペルスキー製品の脆弱性攻撃ブロック機能が、Microsoft Windowsのゼロデイ脆弱性を悪用したエクスプロイトを検知

この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。

このたび、カスペルスキーのエンドポイント向け製品に搭載されている脆弱性攻撃ブロック機能が、未知の脆弱性を突く標的型サイバー攻撃を検知しました。この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。当社からの報告により、Microsoftは、109日、この脆弱性に対するパッチをリリースしました。

ゼロデイ脆弱性を使った攻撃とは、まだ発見、修正されていないソフトウェアの脆弱性を悪用するもので、サイバー脅威の中でも特に危険なもののひとつです。ゼロデイ脆弱性を最初に発見したのがサイバー犯罪組織だった場合、システム全体へのアクセスを可能にするエクスプロイトの開発に悪用される可能性があります。このような攻撃シナリオは、APT攻撃をもくろむ技術力の高い犯罪組織で広く用いられ、今回もゼロデイ脆弱性がエクスプロイトに使用されていました。

このサイバー犯罪組織は、Windowsの脆弱性を悪用したエクスプロイトをPowerShellバックドア経由で標的のシステムに配信、実行して、標的へのアクセスに必要な権限を手に入れていました。このマルウェアのコードは質が高く、できるだけ多くのWindowsのビルドで確実に悪用できるように記述されていました。

このサイバー攻撃は、今年の夏の終わりごろに、中東の十数の組織を標的として実行されていました。攻撃には、過去にPowerShellバックドアを多用していたサイバー犯罪集団「FruityArmor」が関与していると見られています。Kaspersky Labのエキスパートはこの脆弱性を発見後、直ちにマイクロソフトに報告しました。

このエクスプロイトを検知した、カスペルスキー製品の技術は次のとおりです。
•振る舞い検知エンジン、および脆弱性攻撃ブロック
•「Kaspersky Anti Targeted Attack Platform」に搭載されている、アドバンスドサンドボックスおよびアンチマルウェアエンジン

Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「ゼロデイ脆弱性については、新しいエクスプロイトを利用した脅威の状況を積極的に監視することが重要です。弊社が常時、脅威インテリジェンスリサーチを行っていることには、新しい攻撃を発見し、さまざまなサイバー犯罪組織の標的を見極めるだけではなく、このような犯罪者たちが使っている悪意のある技術を学ぶという目的もあります。リサーチの結果、たとえば、今回の脆弱性を利用した攻撃など、さまざまな攻撃を阻止する検知技術の基盤を構築することができました」

■ ゼロデイ脆弱性を悪用したエクスプロイトを回避するために、次のことを推奨します。
・既知の脆弱性が修正されていない、もしくは、最近サイバー攻撃に利用されたソフトウェアの使用を避ける。
・使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能のあるセキュリティ製品を利用する。
・エクスプロイトを含む既知の脅威や未知の脅威から効果的にユーザーを保護する、振る舞いベースの検知機能を備えたセキュリティ製品を利用する。

■ 当ゼロデイエクスプロイト(CVE-2018-8453)の攻撃について詳しくは、Securelistブログ「Zero-day exploit (CVE-2018-8453) used in targeted attacks」(英語)をご覧ください。