Microsoftによると、中国、イラン、北朝鮮、トルコといった国家の支援を受けたハッカー集団が、「Apache Log4j」の脆弱性を悪用し、ランサムウェアなどのマルウェアを仕掛けようとしている。
米サイバーセキュリティインフラセキュリティ庁(CISA)が予想した通り、高度な攻撃者が「Log4Shell」とされるこの脆弱性(CVE-2021-44228)を悪用し始めており、Log4jの脆弱性のあるバージョンを利用しているデバイスやアプリケーションに影響する恐れがある。リモートの攻撃者がデバイスを侵害し、乗っ取ることができる可能性がある深刻な脆弱性だ。
CISAは今週、脆弱性のパッチが適用されるまで、多数の企業デバイスやコンシューマーデバイスがリスクにさらされている状態だと警告した。
Microsoftがこれまでに確認している大量の攻撃の中には、セキュリティ企業や研究者のほか、攻撃者によるスキャニングなどがある。
Microsoftは、「本ブログの公開時点で、観測された活動の大半はスキャニングだ。実際に悪用された例や悪用後の活動も見られる。この脆弱性の性質上、攻撃者はアプリケーションのアクセスと制御をいったん完全に掌握すれば、無数の目標を実行できる。Microsoftは、コインマイナーや『Cobalt Strike』をインストールし、認証情報の盗難、ラテラルムーブメント、侵害されたシステムからのデータの抽出などを可能にしようとする活動を観測している」と述べている。
今回の脆弱性は、悪用のしやすさとさまざまな製品に存在することから、熟練した犯罪者や国家の支援を受けた攻撃者からするとまさに狙い目だ。
今になってこの脆弱性を悪用し始めたのは、後者の国家支援の攻撃者だ。
「その活動は、開発段階の実験や脆弱性の組み込みから、実環境におけるペイロード配布や、攻撃目的の達成に向けた標的への悪用まで多岐にわたる」(Microsoft)
Microsoftはそうした攻撃者の例として、「PHOSPHORUS」と名付けて追跡しているイランのハッカー集団を挙げた。最近、このグループは、ランサムウェアを標的に届けるためにファイル暗号化ツールを多用するようになった。Microsoft Threat Intelligence Center(MSTIC)によると、PHOSPHORUSはLog4jのエクスプロイトを入手し、利用するために手を加えたという。
MSTICは、「われわれは、PHOSPHORUSがこれらの修正版を利用できるようにしたとみている」と述べた。
2021年に起こった「Microsoft Exchange Server」に対するゼロデイ攻撃の背後にいた中国のハッキング集団「HAFNIUM」も、「Log4Shell」を使って「仮想化インフラを狙い、通常よりも標的の範囲を広げている」という。
また、MSTICとMicrosoft 365 Defenderのチームは、攻略したマシンへのアクセスを販売したり貸し出したりする「アクセスブローカー」が、「Linux」と「Windows」の両システムで標的とするネットワークに足場を確保するために、Log4jの脆弱性を悪用していることを確認した。アクセスブローカーは、ランサムウェア攻撃を狙う犯罪集団にアクセスを販売することが多い。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
