「Internet Explorer」未使用でも、なぜIEを狙ったゼロデイ攻撃の被害者になり得るのか
北朝鮮のサイバーグループが「Internet Explorer」の脆弱性を突いたサイバー攻撃を繰り広げている。もはや人気がないWebブラウザをなぜ狙うのだろうか。
Googleの脅威分析グループ(Google Threat Analysis Group)は2022年12月7日、北朝鮮政府の支援を受けた脅威アクターグループ「APT37」の動向を発表した(注1)。「Internet Explorer」は依然として有効な攻撃経路であり、繰り返し利用されているという。
MITREによると、APT37は少なくとも10年前から活動しており、韓国の個人や北朝鮮からの脱北者、政策立案者、ジャーナリスト、人権活動家などを標的にしている(注2)。
Internet Explorerを使っていないのに攻撃される
APT37は過去にもInternet Explorerのゼロデイ脆弱(ぜいじゃく)性を悪用している。
2022年10月29日にソウルで起こった群衆の死亡事故に広く関心が集まっていたため、この悲劇に関連するキーワードを文書に埋め込んだ。ソウルの梨泰院(イテウォン)地区の狭い路地でハロウィーンの祭典中に起きた事故であり、156人の死者を出した。犠牲者の多くは10代や20代と若く、ニュースで大きく取り上げられていた。
Googleの脅威分析グループは、事故の2日後に当たる2022年10月31日に今回のゼロデイ脆弱性を発見した。攻撃対象となった複数の人物が悪意のあるOfficeファイルをマルウェア検査サイト「VirusTotal」にアップロードしたことがきっかけだ。Googleは発見後数時間以内にこの脆弱性をMicrosoftに通知しており、2022年11月3日には「CVE-2022-41128」(CVSSスコア8.8)としてラベル付けされ、追跡できるようになった(注3)。
Microsoftは2022年11月8日にパッチをリリースしたものの(注4)、潜在的な被害者の数や、この脆弱性がどの程度活発に悪用されているかなど、詳細な情報提供を拒否している。
なぜInternet Explorerが危険なのか
Googleの脅威分析グループによると、今回の脆弱性はWSL(Windows Scripting Languages)でリモートコードの実行が可能になるというものだ。この脆弱性はスクリプトエンジンでメモリ破損が起きる「CVE-2021-34480」と強い類似性を持っている。
ユーザーがOfficeファイルの「保護されたビュー」を無効にすると、リッチテキストファイルのリモートテンプレートのダウンロードが始まり、このテンプレートがリモートのHTMLコンテンツを取得して、攻撃が成立する。
「Microsoft OfficeはInternet Explorer(のコンポーネント)を用いてこのHTMLコンテンツをレンダリングするために使われる。2017年以降、Officeファイル経由でInternet Explorerエクスプロイトを配布する目的で広く使われるようになった」
このように記したのは、Googleの脅威分析グループのセキュリティ研究者クレメント・レシーニュ氏とブノワ・セブンズ氏だ。
脆弱性自体はInternet ExplorerのJavaScriptエンジンである「jscript9.dll」に含まれている。
「今回のような手口には攻撃上の利点がある。なぜなら被害者がInternet ExplorerをデフォルトのWebブラウザとして使用する必要がないからだ。さらにEPM(Enhanced Protected Mode)サンドボックスエスケープを使ってエクスプロイトをチェーンする(複雑な手法は)必要がないという利点もある」(レシーニュ氏とセブンズ氏)
Googleの脅威分析グループは、今回と同じ脆弱性を悪用して同様の標的を設定している可能性が高い悪意のあるドキュメントを確認し、同じキャンペーンの一部である可能性を示唆した。
今後もInternet Explorerの新たな脆弱性に目を光らせておく必要がある。
関連記事
Internet Explorerの利用状況(2022年)
30年以上の歴史を持つ「老舗ブラウザ」であるIEが、間もなくサポート終了を迎える。今後はMicrosoft Edgeをはじめとする他のブラウザへの移行が必要となるが、実態として企業の対応はどの程度進んでいるのか。
「ギリギリまでWin 10を使い倒す」ユーザーが語るWindows 11のぶっちゃけ話
「Windows 10」のリリース当時を振り返ると、サポート終了半年前になってもなお「Windows XP」を使い続ける企業が多く、総務省が注意喚起をしたほどだ。2021年10月にリリースされたばかりの「Windows 11」も同じ道をたどるのだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 人気爆発のNotionと低迷のEvernote、ノートアプリのトレンド事情を読む
- 再びゲーム愛好家をアツくさせる「Xbox 360」のマル秘改造テク:696th Lap
- まるで聖徳太子の耳のように複数話者を聞き分ける「分離集音」技術とは?
- 無償のWindows Defenderって使っている? エンドポイント対策最前線
- PayPalもやられた「クレデンシャルスタッフィング攻撃」への対応策
- Notion AIの使い方、Notion導入、運用のポイントを解説
- 使えない「ChatGPT」 使い方が悪いのでは?(第1回)
- ノーコード/ローコード開発ツールの人気爆発に関わるSIerの思惑
- 今やITパスポートより人気の“あの資格” IT資格取得意向を調査
- 初心者向け、コピペで使えるChatGPTプロンプト(第7回)
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。