米Microsoftは9月17日、現在サポートしている全てのバージョンの「Internet Explorer(IE)」に脆弱性があると発表。少なくてもIE 8/9にある脆弱性を悪用しようとしている標的型攻撃を確認しているという。同社は現在、この脆弱性に対して、修正パッチを提供するまでの回避策として一時的なツールを提供している。
今回発表された、この脆弱性はすでに攻撃の対象となっており、修正パッチが提供される前に攻撃されていることから、いわゆる“ゼロデイ”脆弱性になる。この脆弱性は、メモリが破損する場合があり、攻撃者は悪用して任意のコードを実行できる可能性がある。
ファイア・アイが9月24日に発表した情報によると、このゼロデイ脆弱性を狙った攻撃は、日本の組織を狙ったものとして8月19日から始まったことを確認している。ファイア・アイでは、これを“DeputyDog作戦”と呼んでいる。9月17日のMicrosoftの発表は、ファイア・アイの調査を裏付けるものと位置付けている。
米本社のFireEyeは、今回の攻撃に使用された“ペイロード”を8月23日に検知している。このペイロードは、香港にあるサーバにホスティングされており、名前は「img20130823.jpg」となっている。
このファイルは、名前こそ画像ファイルの一種であるjpgだが、その実態は実行ファイル(.exe)という。このマルウェアをダブルクリックすると、韓国にあるサーバに通信する。つまり、このマルウェアは、感染したコンピュータを操るためのサーバ、いわゆる“コマンド&コントロールサーバ(C&Cサーバ)”に通信を試みる。
マルウェアからC&Cサーバへのトラフィックは、ポート443のHTTPを使う。ポート443は通常、HTTPSの暗号化トラフィックに使われるが、このトラフィックはHTTPSでもSSL暗号化でもないという。
FireEyeの調べによると、検知されたマルウェアは8月19日にコンパイルされたことが分かっている。調査を進めると、検知されたマルウェアやその痕跡、C&CサーバのIPアドレスなどから、2月に米セキュリティベンダーBit9を狙ったのと同一人物である可能性が高まったきたということに行き当たった。
2月にBit9を狙った攻撃は、同社のシステムへの侵入に成功。その後、同社の証明書を書き換えて、Bit9を装ったマルウェアを配布しようとしたが、これは失敗に終わったと言われている。
9月24日に開かれた記者会見でファイア・アイ最高技術責任者(CTO)の三輪信雄氏は「2月の攻撃についての情報は、米国だけで報告された。日本を狙った、8月からの攻撃に関する情報は、日本以外では報告されていない」と説明。先に挙げたペイロードのハッシュ値やコンパイル時間、C&CサーバのIPアドレスなどを調べて、同一人物の可能性が高いと解説している。
三輪氏は、今回の攻撃について「改ざんされたウェブサイト」を経由したものではないかと指摘した。攻撃者が標的とする組織が頻繁に訪れるウェブサイトを改ざんして、そのウェブサイトを閲覧したコンピュータが密かに感染するという“水飲み場攻撃”ではないかとの見解を三輪氏は明らかにしている。
三輪氏によると、先に挙げたimg20130823.jpgが検体として提供されているという。すでに対応するパターンファイルがウイルス対策ベンダーから提供されている。だが、別のファイルになっている可能性も指摘した。
