世界各地で悪用が伝えられていた「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は4月の時点で外部の研究者から報告を受けていながら、いったんはセキュリティ問題ではないと見なしていたことも判明。そうした経緯を巡り、脆弱性に対する対応や情報開示の在り方に関する論議も浮上している。
今回の脆弱性は不正なWord文書について、研究者が5月27日にTwitterで伝えたことをきっかけに発覚した。セキュリティ企業の米Qualysによると、この時点でセキュリティ製品による検出率は極めて低かった。しかし他の研究者からも危険性を指摘する声が高まり、Microsoftは同月30日、サポート診断ツール「Microsoft Support Diagnostic Tool」(MSDT)に脆弱性が存在することを確認し、「CVE-2022-30190」という識別番号を割り当てた。
この問題を悪用すれば、攻撃者がメールで送りつけるなどしたWord文書をユーザーが開いたり、プレビューしただけで任意のコードを実行され、システムを遠隔制御される恐れがあった。しかも、Wordを悪用した一般的な攻撃と違ってマクロを有効にさせる必要はなく、比較的簡単に悪用することが可能だった。
ちなみにFollinaの名称は、不正なファイルで参照されていた0438という番号がイタリアのフォリーナのエリアコードだったことにちなみ、研究者が命名した。
実はこの脆弱性については、別の研究者が4月にMicrosoftに報告していた。しかしMicrosoftセキュリティ対策センターからは、「これはセキュリティ関連の問題ではないと判断した」との返答が届いていたという。
だが報道によると、それからMicrosoftがパッチを公開する6月までの間に、中国政府とつながりのあるAPT集団がこの問題を悪用していた他、米国の自治体や欧州の政府関係者、オーストラリアの通信大手などを狙った攻撃にも利用されていたことが判明。ウクライナのCERTはロシアのハッキング集団SandwormがFollinaを悪用している可能性があると伝えていた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR