米FireEyeは米国時間11月8日に「Internet Explorer」に、修正パッチがあてられていない脆弱性、いわゆるゼロデイ脆弱性を狙った攻撃を明らかにした。そして米国時間11月10日に、その詳細を明らかにした。
日本時間11月14日には日本法人のファイア・アイが会見を開き、今回の攻撃が8~9月に発見された“Operation DeputyDog(直訳すると、代理犬作戦)”と関連性があることを示唆した。FireEyeでは、今回の攻撃を“Operation Ephemeral Hydra(直訳すると、はかないヒドラ作戦)”と呼んでおり、ファイア・アイ最高技術責任者(CTO)の三輪信雄氏は、今回が「攻撃の転換点になるかもしれない」と、その特殊性を説明した。
すでに伝えられている通り、今回の攻撃では、攻撃に使用するマルウェアをハードディスク(HDD)に書き込むことはない。その代わりに直接マルウェアをメモリに挿入するという特徴がある。攻撃を受けたコンピュータは、従来のフォレンジックの手法で調査することが困難だ。ファイルをダウンロードしないことから、従来のパターンファイルを定義して検知するという方法も通用しない。
ファイア・アイ CTO 三輪信雄氏
「HDDに書き込まないのでマシンが感染したかどうか検知の手がかりとなる痕跡が残らない。マシンの電源を切ると、メモリから消える。揮発性の高い攻撃と言える。修正パッチをあてても対応できない。対策としては非常に厄介。攻撃の転換点になる可能性がある」(三輪氏)
発見されたEphemeral Hydra作戦は、FireEyeのサンドボックス技術で検知された。サンドボックスは、仮想環境で怪しいファイルの挙動を見てマルウェアかどうかを判断する。FireEyeでは、今回の攻撃を検知したが、より具体的にどのような被害をもたらすのかまでは、現段階では分かっていないとしている。
Ephemeral Hydra作戦の特異性は、ゼロデイの脆弱性を狙ったもので、メモリに侵入するという点にある。だが、その特異性はこれだけに限らない。
今回の攻撃は、米国の政治関連の非政府組織(NGO)のウェブサイトに埋め込まれており、そのウェブサイトを訪れたユーザーのIEが攻撃されるというものだ。この手法は最近流行しつつある“水飲み場”攻撃の典型例だ。
ゼロデイ脆弱性やメモリにマルウェアを挿入ということを考えれば、「全世界を対象にしてもおかしくはない」(三輪氏)攻撃を展開できるはずだ。にもかかわらず、攻撃の手段としては、限定されたウェブサイトを経由したに過ぎない。これがEphemeral Hydra作戦のもうひとつの特異性だ。
Ephemeral Hydra作戦とDeputyDog作戦の関連性として、ファイア・アイは関連するドメインが同じであることを挙げている。コンピュータに忍び込んだマルウェアと通信する“コマンド&コントロール(C&C)”サーバを見ると、Ephemeral Hydra作戦とDeputyDog作戦で同じドメインが含まれている。
Ephemeral Hydra作戦の無気味さは、さらにある。
今回の攻撃で使われたマルウェアをコンパイルするコードの中に「rat_UnInstall」という文字列が含まれている。このrat_UnInstallという文字列は、2010年1月に発覚した“Operation Aurora(オーロラ作戦)”に使われたマルウェアのサンプルにも含まれている。マルウェアの「開発環境がほぼ同一であることを示している」(三輪氏)
オーロラ作戦と言えば、中国の組織の関与が疑われている攻撃だ。2010年1月上旬に、米Googleは中国市場からの撤退を示唆する声明を発表。その原因の一つとして中国の組織からのサイバー攻撃を受けたことを明らかにした。この攻撃は、Googleのほかにも多くのIT企業を標的にし、やはりIEのゼロデイ脆弱性を狙ったものだ。
オーロラ作戦については、McAfeeなどのセキュリティベンダーが中国の組織の関与を指摘した(米セキュリティ調査会社のMandiantは、オーロラ作戦を仕掛けたのは中国の軍部と断定、その具体的な部隊の名称と攻撃拠点となったビルの住所も明らかにした。FireEyeは、Ephemeral Hydra作戦の攻撃主体は明確にしていない)。
オーロラ作戦からDeputyDog作戦、そして今回の攻撃という関連性を考えると、Ephemeral Hydra作戦の無気味さが想像できるだろう。いずれもゼロデイ脆弱性を狙ったものであり、攻撃主体は「大規模な組織」(三輪氏)であろうことは想像に難くない。
それだけに、Ephemeral Hydra作戦が取った手段が特定のウェブサイトというのは、本格的な攻撃としては規模が小さすぎるだろう。これがEphemeral Hydra作戦の無気味さだ。こうしたことを踏まえて三輪氏はEphemeral Hydra作戦の意図について以下のように推測する。
「“ドアを開けてまずは中を見てみる”といったところではないか。今回の攻撃は“練習”という位置付けかもしれない」
マルウェアの最近の流れとしてあるのが、いかにウイルス対策ソフトのスキャンから逃れるか、である。その象徴としてあるのが、OSより下のレイヤに潜む“ルートキット”だ。Ephemeral Hydra作戦で使われた、マルウェアをメモリに挿入するという手段は、そうした流れに位置付けることもできる。決して認めたくはないが、マルウェアも進化を続けている。