Googleは米国時間7月14日、2021年前半に悪用されたゼロデイ脆弱性4件について、新たに詳細な情報を公開している。これらの脆弱性は、同社の脅威分析グループ(TAG:Threat Analysis Group)やセキュリティ研究チームProject Zeroの研究者らが発見したもので、3つの標的型マルウェアキャンペーンで悪用された。「Google Chrome」「Internet Explorer」、Appleのブラウザー「Safari」で使用されている「WebKit」エンジンに含まれていた未知の脆弱性だ。
同社によると、2021年はとりわけ実際に利用されているゼロデイによる攻撃が活発だ。これまで、攻撃に使用された33件のゼロデイ脆弱性が公開されており、その数は2020年と比べて11件増加した。
同社は、検出や開示の取り組みが強化されていることが増加の一因だとしているが、ゼロデイ脆弱性へのアクセスを商業的に販売するベンダーが、2010年代初頭と比較して増えていることも要因だと指摘している。
Googleは、「これまでゼロデイの機能は、ゼロデイ脆弱性を発見して、それらをエクスプロイトに発展させ、戦略的に運用できるようにする技術的な専門知識を持つ一部の国家のみのツールだった」と述べている。「しかし、2010年代半ばから後半にかけて、より多くの民間企業が、これらのゼロデイ脆弱性を悪用する機能をマーケットプレースで販売するようになった。攻撃グループはもはや技術的な専門知識を持つ必要がなく、リソースのみを必要とするようになった。TAGが2021年に発見した4件のゼロデイ脆弱性のうち3件は、そのカテゴリーに該当する。つまり商業的なプロバイダーが開発し、国家を後ろ盾とするハッカーに販売され、使用されている」
Googleが発見したゼロデイ脆弱性は、SafariのCVE-2021-1879、ChromeのCVE-2021-21166とCVE-2021-30551、Internet ExplorerのCVE-2021-33742だ。
Safariのゼロデイ攻撃では、西欧諸国の政府関係者を標的とし、「LinkedIn Messaging」を使って悪意のあるリンクを送信する。「iOS」デバイスからリンクを訪問すると、攻撃者が管理するドメインに誘導され、次の段階のペイロードが提供される。
Google TAGの研究者は、「このエクスプロイトは、Google、Microsoft、LinkedIn、Facebook、Yahooなどの複数の著名なウェブサイトからの認証クッキーを収集するために、同一オリジンポリシーの保護をオフにし、WebSocket経由で攻撃者が管理するIPに送信する可能性がある」とし、「クッキーの抽出に成功するには、被害者がSafariからこれらのウェブサイトでセッションをオープンにしている必要があるだろう」と説明している。
研究者らによると、この攻撃グループはロシア政府の支援を受けている可能性があり、ゼロデイ脆弱性を悪用して、古いiOS(バージョン12.4〜13.7)を搭載したデバイスを標的にした。Appleには報告済みで、同社は3月にiOSのアップデートでパッチを公開した。
Chromeの2件の脆弱性は、レンダラーのリモートコード実行に関するもので、同じ攻撃者が利用していると考えられている。いずれも「Windows」の最新版のChromeを標的に、電子メールで1回限り使用できるリンクが送られた。リンクをクリックすると、攻撃者が管理するドメインに誘導され、デバイスのフィンガープリンティングを行い、クライアントに関するシステム情報などが収集される。攻撃者は取得した情報をもとに、攻撃を仕掛けるかどうかを判断したという。Googleによると、標的となったのはすべてアルメニアのユーザーだった。
Internet Explorerの脆弱性も、アルメニアのユーザーを狙ったキャンペーンで悪用された。悪意のある「Office」文書で、ブラウザー内にコンテンツを読み込もうとする。
Googleは、「われわれの分析によると、これらのChromeとInternet Explorerの脆弱性は、世界中の顧客に監視機能を提供している同じベンダーが開発し、販売したものだと推測される」と述べている。
Googleはこれら4件の各ゼロデイについて、その根本原因分析(RCA)も公開している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。