マルウェアをメモリに挿入するIEゼロデイ攻撃--“オーロラ作戦”と関連か

田中好伸 (編集部) 2013年11月15日 11時24分

  • このエントリーをはてなブックマークに追加

 米FireEyeは米国時間11月8日に「Internet Explorer」に、修正パッチがあてられていない脆弱性、いわゆるゼロデイ脆弱性を狙った攻撃を明らかにした。そして米国時間11月10日に、その詳細を明らかにした

 日本時間11月14日には日本法人のファイア・アイが会見を開き、今回の攻撃が8~9月に発見された“Operation DeputyDog(直訳すると、代理犬作戦)”と関連性があることを示唆した。FireEyeでは、今回の攻撃を“Operation Ephemeral Hydra(直訳すると、はかないヒドラ作戦)”と呼んでおり、ファイア・アイ最高技術責任者(CTO)の三輪信雄氏は、今回が「攻撃の転換点になるかもしれない」と、その特殊性を説明した。

 すでに伝えられている通り、今回の攻撃では、攻撃に使用するマルウェアをハードディスク(HDD)に書き込むことはない。その代わりに直接マルウェアをメモリに挿入するという特徴がある。攻撃を受けたコンピュータは、従来のフォレンジックの手法で調査することが困難だ。ファイルをダウンロードしないことから、従来のパターンファイルを定義して検知するという方法も通用しない。


ファイア・アイ CTO 三輪信雄氏

 「HDDに書き込まないのでマシンが感染したかどうか検知の手がかりとなる痕跡が残らない。マシンの電源を切ると、メモリから消える。揮発性の高い攻撃と言える。修正パッチをあてても対応できない。対策としては非常に厄介。攻撃の転換点になる可能性がある」(三輪氏)

 発見されたEphemeral Hydra作戦は、FireEyeのサンドボックス技術で検知された。サンドボックスは、仮想環境で怪しいファイルの挙動を見てマルウェアかどうかを判断する。FireEyeでは、今回の攻撃を検知したが、より具体的にどのような被害をもたらすのかまでは、現段階では分かっていないとしている。

 Ephemeral Hydra作戦の特異性は、ゼロデイの脆弱性を狙ったもので、メモリに侵入するという点にある。だが、その特異性はこれだけに限らない。

 今回の攻撃は、米国の政治関連の非政府組織(NGO)のウェブサイトに埋め込まれており、そのウェブサイトを訪れたユーザーのIEが攻撃されるというものだ。この手法は最近流行しつつある“水飲み場”攻撃の典型例だ。

 ゼロデイ脆弱性やメモリにマルウェアを挿入ということを考えれば、「全世界を対象にしてもおかしくはない」(三輪氏)攻撃を展開できるはずだ。にもかかわらず、攻撃の手段としては、限定されたウェブサイトを経由したに過ぎない。これがEphemeral Hydra作戦のもうひとつの特異性だ。

 Ephemeral Hydra作戦とDeputyDog作戦の関連性として、ファイア・アイは関連するドメインが同じであることを挙げている。コンピュータに忍び込んだマルウェアと通信する“コマンド&コントロール(C&C)”サーバを見ると、Ephemeral Hydra作戦とDeputyDog作戦で同じドメインが含まれている。

 Ephemeral Hydra作戦の無気味さは、さらにある。

 今回の攻撃で使われたマルウェアをコンパイルするコードの中に「rat_UnInstall」という文字列が含まれている。このrat_UnInstallという文字列は、2010年1月に発覚した“Operation Aurora(オーロラ作戦)”に使われたマルウェアのサンプルにも含まれている。マルウェアの「開発環境がほぼ同一であることを示している」(三輪氏)

 オーロラ作戦と言えば、中国の組織の関与が疑われている攻撃だ。2010年1月上旬に、米Googleは中国市場からの撤退を示唆する声明を発表。その原因の一つとして中国の組織からのサイバー攻撃を受けたことを明らかにした。この攻撃は、Googleのほかにも多くのIT企業を標的にし、やはりIEのゼロデイ脆弱性を狙ったものだ。

 オーロラ作戦については、McAfeeなどのセキュリティベンダーが中国の組織の関与を指摘した(米セキュリティ調査会社のMandiantは、オーロラ作戦を仕掛けたのは中国の軍部と断定、その具体的な部隊の名称と攻撃拠点となったビルの住所も明らかにした。FireEyeは、Ephemeral Hydra作戦の攻撃主体は明確にしていない)。

 オーロラ作戦からDeputyDog作戦、そして今回の攻撃という関連性を考えると、Ephemeral Hydra作戦の無気味さが想像できるだろう。いずれもゼロデイ脆弱性を狙ったものであり、攻撃主体は「大規模な組織」(三輪氏)であろうことは想像に難くない。

 それだけに、Ephemeral Hydra作戦が取った手段が特定のウェブサイトというのは、本格的な攻撃としては規模が小さすぎるだろう。これがEphemeral Hydra作戦の無気味さだ。こうしたことを踏まえて三輪氏はEphemeral Hydra作戦の意図について以下のように推測する。

 「“ドアを開けてまずは中を見てみる”といったところではないか。今回の攻撃は“練習”という位置付けかもしれない」

 マルウェアの最近の流れとしてあるのが、いかにウイルス対策ソフトのスキャンから逃れるか、である。その象徴としてあるのが、OSより下のレイヤに潜む“ルートキット”だ。Ephemeral Hydra作戦で使われた、マルウェアをメモリに挿入するという手段は、そうした流れに位置付けることもできる。決して認めたくはないが、マルウェアも進化を続けている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算