FlashとWindowsの脆弱性を突くコンボ攻撃発生、Windowsの脆弱性は未解決

FireEyeは特定の標的を執拗に狙うAPT攻撃を検出。Flashの脆弱性は最新版で修正されたが、Windowsの権限昇格の脆弱性はパッチを開発中だという。

[鈴木聖子，ITmedia]

新たなAPT攻撃を報告したFireEye

　セキュリティ企業のFireEyeは、Adobe Flashの脆弱性とMicrosoft Windowsの未解決の脆弱性を突いた限定的な攻撃を検出したとして、4月18日のブログで詳細を明らかにした。この攻撃は、ロシア政府の関与が疑われるサイバースパイ組織「APT28」が仕掛けている可能性が大きいと推測している。

　FireEyeによると、特定の標的を執拗に狙う「APT攻撃」が4月13日から検出された。ユーザーが不正なリンクをクリックするとFlashの脆弱性を突いてシェルコードが実行され、Windowsのローカル権限昇格の脆弱性を突くマルウェアをダウンロードしてシステムトークンを盗み出す。

　Flashの脆弱性の方は、Adobeが14日に公開した最新版で修正された。一方、Windowsの権限昇格の脆弱性は現時点で未解決のままとなっている。

　FireEyeによれば、この脆弱性についてはMicrosoftも確認済みで、現在修正パッチを開発中。ただ、現時点で出回っている攻撃コードでは、このWindowsの脆弱性はFlashの修正済みの脆弱性との組み合わせのみで利用されていることから、Flashを最新バージョンに更新すれば、攻撃コードは通用しなくなるという。また、この脆弱性はWindows 8以降は影響を受けないとされる。

　攻撃を仕掛けている組織については、使っているマルウェアや制御用インフラに共通点が多いことなどから、恐らくAPT28が絡んでいるとFireEyeは見る。標的とされている業界も、これまでのAPT28の標的と一致するという。

　APT28は同社が2014年10月に存在を指摘した組織。各国の政府機関や軍事機関から情報を盗み出すスパイ活動を展開しているとされ、FireEyeでは「ロシア政府がスポンサーしている可能性が極めて大きい」との見方を示していた。