欧米の標的を狙った限定的な攻撃活動で、Windows オペレーティングシステムの新しい深刻な脆弱性が悪用されていると報告されています。攻撃者は、Microsoft Windows OLE パッケージマネージャにおけるリモートコード実行の脆弱性(Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability)(CVE-2014-4114)を悪用して、外部に存在する OLE(オブジェクトのリンクと埋め込み)ファイルを埋め込むことができます。これにより、標的のコンピュータにマルウェアをダウンロードしてインストールすることが可能になります。Sandworm と呼ばれるサイバースパイグループが、この脆弱性を悪用して、標的の組織に Backdoor.Lancafdo.A(別名 Black Energy バックドア)を投下していると思われます。
脆弱性の影響を受けるのは、Windows Vista SP 2 から Windows 8.1 までのすべてのバージョンの Windows と、Windows Server 2008 および Windows Server 2012 です。この脆弱性は、Windows が OLE を処理する方法に関連しています。OLE を利用すると、文書内のリッチデータや、文書へのリンクを別の文書に埋め込むことができます。OLE は通常、ローカルに保存されているコンテンツを埋め込むために使用されますが、この脆弱性を悪用すると、外部のファイルをひそかにダウンロードして実行することができます。
活発な攻撃が進行中 脆弱性を公表した iSIGHT Partners 社によると、この脆弱性を悪用した限定的なサイバースパイ攻撃がすでに発生しています。標的となっているのは、NATO、ウクライナの複数の政府機関、西欧の多数の政府機関、エネルギー業界の企業、欧州の通信会社、米国の学術機関です。シマンテックの遠隔測定によると、攻撃は 8 月以降に発生しています。iSIGHT 社では、Sandworm と呼ばれる APT(Advanced Persistent Threat)グループが、一連の攻撃に関わっているとしています。
これまでに確認された攻撃では、標的となった個人にスピア型フィッシングメールが送られてきます。電子メールには、悪質な PowerPoint ファイル(シマンテック製品では Trojan.Mdropper として検出されます)が添付されており、URL を含む OLE 文書が 2 つ埋め込まれています。PowerPoint ファイルを開くと、これらの URL へのアクセスが実行されて .exe と .inf の 2 つの形式のファイルがダウンロードされ、この 2 つのファイルによってコンピュータにマルウェアがインストールされます。シマンテックはマルウェアのペイロードを Backdoor.Lancafdo.A として検出します。
バックドアが標的のコンピュータにインストールされると、攻撃者は他のマルウェアをダウンロードしてインストールすることができるようになります。また、このマルウェアは、情報窃取コンポーネントを含む自身の更新版をダウンロードする可能性もあります。
現時点では、脆弱性の悪用に PowerPoint ファイルが利用されていますが、その性質を考えると、Word 文書や Excel スプレッドシートなど他の種類の Office ファイルを悪用した攻撃も、いずれ行われるでしょう。
リモートの攻撃者が標的のコンピュータ上でコードを実行できてしまうため、この脆弱性は深刻です。これまでは限られたグループだけが悪用していましたが、脆弱性が公表されたことで、今後他のグループも悪用を試みると考えられます。
企業および一般ユーザー向けの推奨事項 脆弱性の影響を受ける Windows を使用している場合は、次のことを行うようお勧めします。
シマンテックの保護対策 シマンテック製品をお使いのお客様は、次の検出定義によって、この脆弱性を悪用した攻撃で利用されているマルウェアから保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。