検索
連載

「Internet Explorer」未使用でも、なぜIEを狙ったゼロデイ攻撃の被害者になり得るのか

北朝鮮のサイバーグループが「Internet Explorer」の脆弱性を突いたサイバー攻撃を繰り広げている。もはや人気がないWebブラウザをなぜ狙うのだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 Googleの脅威分析グループ(Google Threat Analysis Group)は2022年12月7日、北朝鮮政府の支援を受けた脅威アクターグループ「APT37」の動向を発表した(注1)。「Internet Explorer」は依然として有効な攻撃経路であり、繰り返し利用されているという。

 MITREによると、APT37は少なくとも10年前から活動しており、韓国の個人や北朝鮮からの脱北者、政策立案者、ジャーナリスト、人権活動家などを標的にしている(注2)。

Internet Explorerを使っていないのに攻撃される

 APT37は過去にもInternet Explorerのゼロデイ脆弱(ぜいじゃく)性を悪用している。

 2022年10月29日にソウルで起こった群衆の死亡事故に広く関心が集まっていたため、この悲劇に関連するキーワードを文書に埋め込んだ。ソウルの梨泰院(イテウォン)地区の狭い路地でハロウィーンの祭典中に起きた事故であり、156人の死者を出した。犠牲者の多くは10代や20代と若く、ニュースで大きく取り上げられていた。

 Googleの脅威分析グループは、事故の2日後に当たる2022年10月31日に今回のゼロデイ脆弱性を発見した。攻撃対象となった複数の人物が悪意のあるOfficeファイルをマルウェア検査サイト「VirusTotal」にアップロードしたことがきっかけだ。Googleは発見後数時間以内にこの脆弱性をMicrosoftに通知しており、2022年11月3日には「CVE-2022-41128」(CVSSスコア8.8)としてラベル付けされ、追跡できるようになった(注3)。

 Microsoftは2022年11月8日にパッチをリリースしたものの(注4)、潜在的な被害者の数や、この脆弱性がどの程度活発に悪用されているかなど、詳細な情報提供を拒否している。

なぜInternet Explorerが危険なのか

 Googleの脅威分析グループによると、今回の脆弱性はWSL(Windows Scripting Languages)でリモートコードの実行が可能になるというものだ。この脆弱性はスクリプトエンジンでメモリ破損が起きる「CVE-2021-34480」と強い類似性を持っている。

 ユーザーがOfficeファイルの「保護されたビュー」を無効にすると、リッチテキストファイルのリモートテンプレートのダウンロードが始まり、このテンプレートがリモートのHTMLコンテンツを取得して、攻撃が成立する。

 「Microsoft OfficeはInternet Explorer(のコンポーネント)を用いてこのHTMLコンテンツをレンダリングするために使われる。2017年以降、Officeファイル経由でInternet Explorerエクスプロイトを配布する目的で広く使われるようになった」

 このように記したのは、Googleの脅威分析グループのセキュリティ研究者クレメント・レシーニュ氏とブノワ・セブンズ氏だ。

 脆弱性自体はInternet ExplorerのJavaScriptエンジンである「jscript9.dll」に含まれている。

 「今回のような手口には攻撃上の利点がある。なぜなら被害者がInternet ExplorerをデフォルトのWebブラウザとして使用する必要がないからだ。さらにEPM(Enhanced Protected Mode)サンドボックスエスケープを使ってエクスプロイトをチェーンする(複雑な手法は)必要がないという利点もある」(レシーニュ氏とセブンズ氏)

 Googleの脅威分析グループは、今回と同じ脆弱性を悪用して同様の標的を設定している可能性が高い悪意のあるドキュメントを確認し、同じキャンペーンの一部である可能性を示唆した。

 今後もInternet Explorerの新たな脆弱性に目を光らせておく必要がある。

© Industry Dive. All rights reserved.

ページトップに戻る