セキュリティ企業のFireEyeは米国時間11月8日、「Internet Explorer」(IE)に対するゼロデイ攻撃について報告した。同社は10日、この攻撃についてさらに詳しい情報を伝えた。FireEyeはこの攻撃を「ディスクレス型の9002 RAT」と呼んでいる。RATはRemote Access Trojan(リモートアクセス型トロイの木馬)を表す。このトロイの木馬は、以前確認されたTrojan.APT.9002の亜種だ。「ディスクレス型」については後で説明する。
この攻撃は洗練されており、FireEyeが「Operation DeputyDog」と呼ぶ攻撃を8月から9月にかけて仕掛けたのと同じグループの仕業のようだ。どちらの攻撃も同じドメイン(dll.freshdns.org)のコマンド&コントロールサーバを使用していた。
今回の攻撃は高度にターゲット化されている点が特徴で、攻撃者は標的について何らかの予備調査を行っている。FireEyeの追加情報によると、「攻撃者らはこのゼロデイのエクスプロイトを、国家および国際安全保障政策に関心を持っていそうな訪問者が多いことで知られている戦略的に重要なウェブサイトに仕掛けた」という。現時点で、この攻撃が広範囲に拡大することを懸念する必要はないようだ。
FireEyeは、この攻撃が非持続的であるという事実に最も関心を抱いているように見える。大多数の持続的標的型攻撃(Advanced Persistent Threat:APT)は、再起動時にリロードできるよう自らをディスクに書き込む。ディスクレス型の9002 RATはこれとは異なり、自らをメモリに埋め込んで実行するが、持続的ではない。これがディスクレス型と呼ばれる所以だ。
ディスクレス型は、フォレンジック調査による特定がはるかに難しくなる。さらに、攻撃がシステムにその目的を果たすのに十分な時間とどまっていない可能性があることも意味する。FireEyeの推測によると、攻撃者は、攻撃を完了するのに十分なほど標的が頻繁にサイトを再訪問すると確信を持っているか、または標的となった組織内部に感染が広がって目的を達成できると予想しているかのどちらかだろうという。
今回の攻撃は、以前のバージョンのTrojan.APT.9002より洗練された新しい自己暗号化法も用いている。
FireEyeは今回の脅威についてMicrosoftと協力していると述べているが、Microsoftは攻撃自体についても攻撃を引き起こす脆弱性についても公に認めていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
