IEのゼロデイ脆弱性、北朝鮮の脅威アクターが悪用

Googleの脅威分析グループは北朝鮮のAPTグループによるInternet Explorerのゼロデイ脆弱性の悪用を確認した。

[後藤大地，有限会社オングス]

　Googleは2022年12月7日（現地時間）、同社のブログで「Internet Explorer」（以下、IE）にゼロデイ脆弱（ぜいじゃく）性が存在すると伝えた。Googleの脅威分析グループが2022年10月下旬に発見した脆弱性で、CVE-2022-41128として特定されている。

　北朝鮮が支援する「APT」（持続的標的型攻撃）グループのうち、「APT37」などと呼ばれるグループが今回見つかったゼロデイ脆弱性をすでに悪用している。APT37は韓国のユーザーや脱北者、政策立案者、ジャーナリスト、人権活動家などを標的にサイバー攻撃を実行している。

GoogleはIEにゼロデイ脆弱性を発見した（出典：Googleのブログ）

IEの脆弱性を悪用する攻撃手順とは？

　CVE-2022-41128は、IEのJavaScriptエンジン「jscript9.dll」に存在する。これを利用すると、細工したHTMLコンテンツを用意することによってIEで任意のコードを実行できるようになる。具体的な攻撃手順は以下の通りだ。

1. フィッシング詐欺メールのような何らかの方法で標的とするユーザーに「Microsoft Office」ドキュメントを配布する
2. 配布したMicrosoft Officeドキュメントはリッチテキストファイル（RTF）リモートテンプレートをダウンロードする。さらにそのテンプレートがリモートのHTMLコンテンツを取得する
3. Microsoft Officeは取得したHTMLコンテンツをIEでレンダリングする。ここで脆弱性が悪用される

　Googleの脅威分析グループは、CVE-2022-41128を悪用した脅威アクターによる攻撃の最終的なペイロード（不正コード）を回収できなかったとしている。しかし同グループは以前から「ROKRAT」「BLUELIGHT」「DOLPHIN」などのマルウェアインプラントを配信していたことから、今回の攻撃も同様の手口を取るものとみられる。

　CVE-2022-41128については、Microsoftの2022年11月のセキュリティ更新プログラムでパッチがリリースされている。同脆弱性は今後も悪用される可能性があるためIEユーザーは迅速にパッチを適用してほしい。