Googleは米国時間1月12日、同社が2020年の初めに発見した、「Android」と「Windows」のデバイスを標的とした高度なハッキング攻撃の詳細を説明する6本のブログ記事からなるレポートを公開した。
攻撃は、2つのエクスプロイトサーバーを介して、水飲み場攻撃を使用した異なるエクスプロイトチェーンによって実行された。
Googleのセキュリティチームの1つであるProject Zeroは、レポートの最初の記事で、「一方のサーバーはWindowsユーザーを標的としたもので、もう一方がAndroidを標的としていた」と述べている。
Googleによれば、どちらの攻撃サーバーでも、「Google Chrome」の脆弱性を使用して被害者のデバイスへの最初の足がかりを得ていたという。攻撃者は、ユーザーのブラウザーに最初の侵入ポイントを確立した後、OSレベルのエクスプロイトを展開してデバイスに対する制御を強めていた。
使用されたエクスプロイトチェーンでは、ゼロデイ脆弱性(修正プログラムが提供されていない未知の脆弱性)とNデイ脆弱性(修正プログラムが提供されているが適用されていない可能性のある既知の脆弱性)を組み合わせて使用していたものもあった。
Googleは、攻撃サーバーでAndroidのゼロデイ脆弱性がホストされていた証拠は見つからなかったものの、攻撃者はAndroidのゼロデイ脆弱性にもアクセスできた可能性が高く、研究者が発見したときにエクスプロイトがホストされていなかった可能性が高いと述べている。
Googleは、使用されたエクスプロイトチェーンは全体的に「効率性が高く、モジュール化されていることで柔軟性が高い設計になっている」と説明している。
レポートでは、「これらは技術的に優れた複雑なコードで、新しいさまざまな攻撃手法や、成熟したロギングの仕組み、高度で計算された攻撃後のテクニック、分析に対する大量の対抗手段やターゲットをチェックする多くの手段を備えている」と述べている。
Googleは、「エキスパートのチームがこれらのエクスプロイトチェーンを設計、開発したとわれわれは考えている」が、攻撃者が標的となった被害者の例などの詳細情報は明らかにしていない。
(I mean, TBH you can probably make a pretty intelligent guess about who would do that. You can probably count the number of actors in the world who would go to the trouble of using all those aspects of professionalism on one hand. With fingers left over.)
— Brian in Pittsburgh (@arekfurt) January 12, 2021
Googleは、この最初ブログ記事とともに、攻撃で利用されたChromeの脆弱性や、Chromeのエクスプロイトチェーン、Android、Windowsのエクスプロイトチェーンなどを説明したレポートを公開している。
Googleが公開した詳細情報は、セキュリティベンダーが顧客への攻撃を特定したり、同じ脅威アクターが実行する同様の攻撃や被害者を見つけ出す上で有用となるだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。