メインコンテンツにスキップする

カスペルスキー製品の脆弱性攻撃ブロック機能が、Microsoft Windowsのゼロデイ脆弱性を悪用したエクスプロイトを検知

2018年10月15日

この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。

このたび、カスペルスキーのエンドポイント向け製品に搭載されている脆弱性攻撃ブロック機能が、未知の脆弱性を突く標的型サイバー攻撃を検知しました。この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。当社からの報告により、Microsoftは、109日、この脆弱性に対するパッチをリリースしました。

ゼロデイ脆弱性を使った攻撃とは、まだ発見、修正されていないソフトウェアの脆弱性を悪用するもので、サイバー脅威の中でも特に危険なもののひとつです。ゼロデイ脆弱性を最初に発見したのがサイバー犯罪組織だった場合、システム全体へのアクセスを可能にするエクスプロイトの開発に悪用される可能性があります。このような攻撃シナリオは、APT攻撃をもくろむ技術力の高い犯罪組織で広く用いられ、今回もゼロデイ脆弱性がエクスプロイトに使用されていました。

このサイバー犯罪組織は、Windowsの脆弱性を悪用したエクスプロイトをPowerShellバックドア経由で標的のシステムに配信、実行して、標的へのアクセスに必要な権限を手に入れていました。このマルウェアのコードは質が高く、できるだけ多くのWindowsのビルドで確実に悪用できるように記述されていました。

このサイバー攻撃は、今年の夏の終わりごろに、中東の十数の組織を標的として実行されていました。攻撃には、過去にPowerShellバックドアを多用していたサイバー犯罪集団「FruityArmor」が関与していると見られています。Kaspersky Labのエキスパートはこの脆弱性を発見後、直ちにマイクロソフトに報告しました。

このエクスプロイトを検知した、カスペルスキー製品の技術は次のとおりです。
•振る舞い検知エンジン、および脆弱性攻撃ブロック
•「Kaspersky Anti Targeted Attack Platform」に搭載されている、アドバンスドサンドボックスおよびアンチマルウェアエンジン

Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「ゼロデイ脆弱性については、新しいエクスプロイトを利用した脅威の状況を積極的に監視することが重要です。弊社が常時、脅威インテリジェンスリサーチを行っていることには、新しい攻撃を発見し、さまざまなサイバー犯罪組織の標的を見極めるだけではなく、このような犯罪者たちが使っている悪意のある技術を学ぶという目的もあります。リサーチの結果、たとえば、今回の脆弱性を利用した攻撃など、さまざまな攻撃を阻止する検知技術の基盤を構築することができました」

■ ゼロデイ脆弱性を悪用したエクスプロイトを回避するために、次のことを推奨します。
・既知の脆弱性が修正されていない、もしくは、最近サイバー攻撃に利用されたソフトウェアの使用を避ける。
・使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能のあるセキュリティ製品を利用する。
・エクスプロイトを含む既知の脅威や未知の脅威から効果的にユーザーを保護する、振る舞いベースの検知機能を備えたセキュリティ製品を利用する。

■ 当ゼロデイエクスプロイト(CVE-2018-8453)の攻撃について詳しくは、Securelistブログ「Zero-day exploit (CVE-2018-8453) used in targeted attacks」(英語)をご覧ください。

カスペルスキー製品の脆弱性攻撃ブロック機能が、Microsoft Windowsのゼロデイ脆弱性を悪用したエクスプロイトを検知

この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース