この集団は無限とも思えるゼロデイの脆弱性の在庫を持ち、必要に応じて攻撃に利用しているという。
2009年にGoogleなどの米大手企業を狙って大規模なサイバー攻撃(通称「Aurora攻撃」)を仕掛けた集団が、それ以降も未解決の脆弱性を次々に悪用するゼロデイ攻撃を繰り出し、防衛産業を標的にし続けているという。米Symantecがその手口などについて解説した調査報告書を公表した。
Symantecの9月7日のブログによると、この集団は過去3年間にわたって継続的に、さまざまな業種を狙って攻撃を仕掛けてきた。攻撃では未解決の脆弱性を大量に悪用し、過去数カ月だけで深刻なゼロデイの脆弱性を4件も悪用したという。具体的にはAdobe Flash Playerの脆弱性を2件と、Microsoft Internet Explorer(IE)の脆弱性、Microsoft XML Core Servicesの脆弱性の計4件がこの集団によって悪用された。
これほど多くのゼロデイの脆弱性を使う集団はほかにないとSymantecは解説し、「同集団はゼロデイの脆弱性の在庫を無限に持っているように見える」と分析。その中から必要に応じて利用し、現在使っている脆弱性の存在が近いうちに公になりそうだと判断すれば、連続してゼロデイ攻撃を繰り出すこともあるという。
標的とされているのは主に、大手防衛企業に電子部品や機械部品を供給しているサプライチェーン企業が多いという。攻撃側は、こうした企業は大手防衛企業に比べてセキュリティ対策も手薄だと考え、大手に侵入するための踏み台として、あるいは大手の製品に使われている部品の知的財産を手に入れる目的で攻撃を仕掛けているとみられる。
攻撃の手口はこれまで電子メールを使ったスピアフィッシングが主流だったが、最近では標的とする企業が利用しそうなWebサイトを改ざんして不正なコードを仕掛けておく手口の採用も増えている。狙った相手がこのサイトを見ると、バックドア型トロイの木馬に感染する恐れがある。
Symantecはこの集団による攻撃を「Elderwood Project」と命名し、特に防衛企業と取引のあるサプライチェーン企業や、過去に攻撃に遭ったことのある企業は注意が必要だと指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.