編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

2018年中はInternet Explorerが北朝鮮の激しいAPT攻撃の標的に

Catalin Cimpanu (ZDNet.com) 翻訳校正: 石橋啓一郎

2018-11-21 06:30

 北朝鮮のサイバー諜報グループは2018年、「Internet Explorer」のスクリプトエンジンを執拗に攻撃している。このグループは2つのゼロデイ攻撃を実施したほか、古い脆弱性を利用した新たな攻撃手段も2つ生み出した。

 このグループの名前はDarkHotelだ。McAfeeを始めとする多くのサイバーセキュリティ企業が、このグループを北朝鮮政府と結びつけている。

 このグループは2007年から活動しているが、Kaspersky Labが2014年に詳細なレポートを発表し、数百のホテルの構内Wi-Fiネットワークに侵入して、社会的地位の高い宿泊客をマルウェアに感染させる手口を使った、複雑なハッキング活動を明らかにしたことで広く知られるようになった。

 公開されたレポートで名指しされたにも関わらず、DarkHotelは攻撃を止めず、多くの被害者を標的にし続け、最近では2016年と2017年にも同じ手法で政治家をターゲットとした攻撃を行っている。

 同グループは、ほかにも攻撃を実行している。研究のために外国の研究者に送られた北朝鮮のアンチウイルスソフトウェアの中に、マルウェアを隠していたこともあった。この攻撃は、サイバーセキュリティ業界で「APT-C-06」「Dubnium」「Fallout Team」「Karba」「Luder」「Nemim」「SIG25」「Tapaoux」などの多くの名前で呼ばれている。

Internet Explorerを執拗に狙うDarkhotel

 2018年の同グループは非常に活発に活動しており、同じ技術を繰り返しターゲットにしている。標的はInternet ExplorerのVBScriptスクリプトエンジンだ。

 研究者らによれば、DarkHotelは4月にIEのゼロデイ脆弱性CVE-2018-8174)を発見して悪用しており、8月にも別のゼロデイ脆弱性CVE-2018-8373)を悪用しているという。Microsoftはこれらの脆弱性を5月と9月にそれぞれ修正している。

 さらにQihoo 360 Coreは、米国時間11月12日に発表した新しいレポートで、同グループはIEのスクリプトエンジンに存在する2つの古い脆弱性(CVE-2017-11869およびCVE-2016-0189)を悪用した新たな攻撃コードを作成したと述べている。

 「分析によって、これら4つ(の攻撃コード)の難読化手法と脆弱性の悪用手法は極めて似通っていることが明らかになった」とQihoo 360の研究者は述べている。「われわれは、これらは同じハッカー(またはハッキンググループ)が作成したものではないかと考えている」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]