サイバースパイ団「Sandworm」がWindowsの「MS14-060」脆弱性突く攻撃活動

　日本時間の10月15日に提供が開始されたMicrosoftの月例セキュリティ更新プログラム「MS14-060」については、この脆弱性（CVE-2014-4114）を悪用する限定的な攻撃がすでに確認されていたことを同社が公表しているが、そのゼロデイ攻撃は「Sandworm」というサイバースパイグループによって欧米の限定的なターゲットを狙って行われていたものだという。この脆弱性をMicrosoftに報告したセキュリティ企業の米iSIGHT Partnersが明らかにした。また、SymantecやTrend Microも公式ブログで解説している。

　標的となっていたのはNATO、ウクライナの政府機関、西ヨーロッパの政府機関、エネルギー企業（特にポーランド）、ヨーロッパの通信会社、米国の学術機関。また、Symantecの遠隔測定によれば、この攻撃は8月以降に発生しているという。

「Sandworm」がターゲットにしていた組織（iSIGHT Partnersのプレスリリースより）

　MS14-060で修正したのは、Windows OLE（Object Linking and Embedding）の脆弱性で、現在サポートされている全バージョンのWindows（8.1/8/7/Vista、RT 8.1/RT、Server 2012 R2/2012/2008 R2/2008）に影響がある。

　Sandwormは、標的組織に対して、OLEの脆弱性を悪用したPowerPointファイルをメールの添付ファイルとして送信し、これを開かせることでコンピューターにマルウェアをインストールさせていたという。

　Symantecによると、現時点で悪用されていたのはPowerPointファイルだが、その性質からWordの文書やExcelのスプレッドシートなど他の形式のOfficeファイルを悪用した攻撃もいずれ行われると説明。また、従来は限られたグループだけが悪用していたが、脆弱性が公表されたことで、今後、他のグループも悪用を試みると考えられると指摘している。