IEのゼロデイ脆弱性を悪用する新たな標的型攻撃、日本を狙った攻撃との関連も

　米FireEyeは、Internet Explorer（IE）のゼロデイ脆弱性を悪用する攻撃コードが確認されたと報告した。攻撃コードは、特定のユーザー層を狙ったウェブサイトに埋め込まれ、標的PC上で攻撃コードはディスクに書き込まれずにメモリ内でのみ実行されるなど、攻撃が非常に高度化されていると分析している。

　FireEyeでは、攻撃コードのペイロードを「Trojan.APT.9002」の亜種と認識している。このペイロードは、脆弱性の悪用に成功した場合、一連の段階を踏んでデコードされ、直接メモリに挿入されるという特徴を持っている。自身をディスクに書き込まないため、感染マシンには検知の手がかりとなる痕跡がほとんど残らず、攻撃を受けたシステムを従来のフォレンジック手法で調査することは非常に困難だという。

　攻撃者は、国家や多国間の安全保障政策に関心のある人物がアクセスするウェブサイトを意図的に選んで攻撃コードを埋め込んでいる。また、8月に発生した、日本の省庁などを狙った標的型攻撃「Operation DuputyDog」と同じ司令サーバーが利用されており、攻撃グループに関連性があると推測している。

　FireEyeでは、特定のユーザー層がアクセスするサイトに攻撃コードを埋め込み、ディスクに書き込みをしないペイロードと多層の難読化を駆使するなど、今回の攻撃キャンペーンは非常に高度化されており、容易には検出できないと指摘。パッチ未公開の脆弱性を巧みに見つけ出し、標的型攻撃を執拗に行う攻撃グループは、今後もさらに高度な攻撃を仕掛けてくるだろうと警告している。