IEを狙ったゼロデイ攻撃は「練習」？ ファイア・アイが解説：攻撃者は準備を整え、“弾”もいくつか持っている？

　ファイア・アイは2013年11月14日、Internet Explorer（IE）のゼロデイ脆弱性を悪用した攻撃に関する説明会を開催した。同社はこの攻撃を「Ephemeral Hydra」と命名している。いくつかの特徴から判断すると、「今回の攻撃は単なる練習や情報収集に過ぎず、ほかにも“弾”を仕込んであるのではないか」（同社最高技術責任者、三輪信雄氏）という可能性があるという。

ファイア・アイ 最高技術責任者の三輪信雄氏

　Ephemeral Hydraは、IEのActiveXに存在する脆弱性を突いた攻撃コードだ。安全保障問題に関心を持つユーザーがよくアクセスする米国のNGOのWebサイトが改ざんされ、埋め込まれていた。発見当初はパッチが存在しないゼロデイ脆弱性だったが、マイクロソフトは11月13日の月例セキュリティアップデートでこの問題を修正している（関連記事）。

　サンドボックス技術を用いてEphemeral Hydraを発見したファイア・アイによると、この攻撃にはいくつかの特徴がある。1つは、メモリ上でのみ動作し、ファイルを残さないため、PCを再起動すると消えてしまうこと。ターゲットを絞ったAPTの一種と考えられるが、「しつこくないAPT」（三輪氏）といえる。長期にわたってPCに潜伏して情報を盗み出す標的型攻撃にしては効率が悪いが、「ヒット＆アウェイで、見つけにくい」（同氏）ということでもある。

　しかも、IEのゼロデイ脆弱性という、やりようによっては多くのユーザーを狙える脆弱性を悪用しておきながら、同社では、コードが埋め込まれたサイトは少なくとも1個所しか把握していない。それも、iframeを書き換えて感染用の別のサイトからマルウェアをダウンロードさせる、といった手間を掛けるわけでもなく、同一サイトにコードが置かれていただけだったという。

　つまり攻撃者は、ゼロデイ脆弱性を見つけ出すだけの技術力を持っていながら、小規模かつ単純な方法でEphemeral Hydraを仕掛けた。そう考えていくと、「今回の攻撃は、次の攻撃を見つかりにくくするための『練習』かもしれない」と三輪氏は述べている。

相手は準備を整え、脆弱性のストックを持っている

　もう1つの特徴は、いくつかの過去の攻撃との間に共通点が見られることだ。具体的には、2013年8月から9月にかけて、日本の組織や企業もターゲットになったゼロデイ攻撃（同社は「DeputyDog」と称している）で、感染したマシンが接続を試みるC＆Cサーバに同一のドメイン名が含まれていた（関連記事）。

　さらに、今回得られた検体のコードには、2010年に明らかになった大規模攻撃「Operation Aurora」で使われたマルウェアと共通する文字列が含まれていた。

　こうした情報を総合すると、同一の組織が、数年のスパンにわたって一連の攻撃に関与している可能性が高いと考えられる。「脆弱性を探すのが得意な多数の人間が関わる組織が、勝手気ままに思いつきで攻撃を行うのではなく、プロジェクト的に攻撃を実行している。おそらくいくつか脆弱性のストックがあって、その時々の目的に応じて攻撃を行ってくるのではないか」（三輪氏）。

　従って、従来のウイルスと同じような考えでは、こうした攻撃には対策できないと三輪氏は述べた。「パッチを当てたからいい、というわけではない。次に日本を狙うときには、また別のゼロデイ脆弱性を使うかもしれない」（同氏）。

　現時点で、Ephemeral Hydraに備えてすぐに実施できる対策となると、「IEを使わない」（三輪氏）。業務アプリケーションの都合上IEを使わざるを得ない環境ならば、「社内はIE、外のサイトにアクセスするときはほかのブラウザを使う、といった具合に使い分けるといいのでは」という。

　この数年間、ベンダの努力によって、Windows OSをはじめソフトウェア側の防御は格段に向上してきた。しかし、「攻撃側もそれ以上に必死にやってくるため、結果は変わらない。たとえIEのセキュリティレベルが上がったとしても、今度はJavaやPDFなどほかのものを狙ってくるかもしれない」（同氏）。