カスペルスキー製品の脆弱性攻撃ブロック機能が、Windowsのゼロデイ脆弱性を悪用したエクスプロイトを検知
この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。
[本リリースは、2018年10月10日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
このたび、カスペルスキーのエンドポイント向け製品に搭載されている脆弱性攻撃ブロック機能が、未知の脆弱性を突く標的型サイバー攻撃を検知しました。この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。当社からの報告により、Microsoftは、10月9日、この脆弱性に対するパッチをリリースしました。
ゼロデイ脆弱性を使った攻撃とは、まだ発見、修正されていないソフトウェアの脆弱性を悪用するもので、サイバー脅威の中でも特に危険なもののひとつです。ゼロデイ脆弱性を最初に発見したのがサイバー犯罪組織だった場合、システム全体へのアクセスを可能にするエクスプロイトの開発に悪用される可能性があります。このような攻撃シナリオは、APT攻撃をもくろむ技術力の高い犯罪組織で広く用いられ、今回もゼロデイ脆弱性がエクスプロイトに使用されていました。
このサイバー犯罪組織は、Windowsの脆弱性を悪用したエクスプロイトをPowerShellバックドア経由で標的のシステムに配信、実行して、標的へのアクセスに必要な権限を手に入れていました。このマルウェアのコードは質が高く、できるだけ多くのWindowsのビルドで確実に悪用できるように記述されていました。
このサイバー攻撃は、今年の夏の終わりごろに、中東の十数の組織を標的として実行されていました。攻撃には、過去にPowerShellバックドアを多用していたサイバー犯罪集団「FruityArmor」が関与していると見られています。Kaspersky Labのエキスパートはこの脆弱性を発見後、直ちにマイクロソフトに報告しました。
このエクスプロイトを検知した、カスペルスキー製品の技術は次のとおりです。
・振る舞い検知エンジン、および脆弱性攻撃ブロック
・「Kaspersky Anti Targeted Attack Platform」に搭載されている、アドバンスドサンドボックスおよびアンチマルウェアエンジン
Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「ゼロデイ脆弱性については、新しいエクスプロイトを利用した脅威の状況を積極的に監視することが重要です。弊社が常時、脅威インテリジェンスリサーチを行っていることには、新しい攻撃を発見し、さまざまなサイバー犯罪組織の標的を見極めるだけではなく、このような犯罪者たちが使っている悪意のある技術を学ぶという目的もあります。リサーチの結果、たとえば、今回の脆弱性を利用した攻撃など、さまざまな攻撃を阻止する検知技術の基盤を構築することができました」
■ ゼロデイ脆弱性を悪用したエクスプロイトを回避するために、次のことを推奨します。
・既知の脆弱性が修正されていない、もしくは、最近サイバー攻撃に利用されたソフトウェアの使用を避ける。
・使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能のあるセキュリティ製品を利用する。
・エクスプロイトを含む既知の脅威や未知の脅威から効果的にユーザーを保護する、振る舞いベースの検知機能を備えたセキュリティ製品を利用する。
■ 当ゼロデイエクスプロイト(CVE-2018-8453)の攻撃について詳しくは、Securelistブログ「Zero-day exploit (CVE-2018-8453) used in targeted attacks」(英語)をご覧ください。
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
■ 脆弱性攻撃ブロック機能について詳しくは、こちらをご覧ください。
https://www.kaspersky.co.jp/enterprise-security/wiki-section/products/automatic-exploit-prevention-aep
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
このたび、カスペルスキーのエンドポイント向け製品に搭載されている脆弱性攻撃ブロック機能が、未知の脆弱性を突く標的型サイバー攻撃を検知しました。この攻撃には、Windowsオペレーティングシステムのゼロデイ脆弱性を悪用する新しいマルウェアが利用されました。攻撃者の狙いは、中東に存在する標的システムへ継続的にアクセスすることでした。当社からの報告により、Microsoftは、10月9日、この脆弱性に対するパッチをリリースしました。
ゼロデイ脆弱性を使った攻撃とは、まだ発見、修正されていないソフトウェアの脆弱性を悪用するもので、サイバー脅威の中でも特に危険なもののひとつです。ゼロデイ脆弱性を最初に発見したのがサイバー犯罪組織だった場合、システム全体へのアクセスを可能にするエクスプロイトの開発に悪用される可能性があります。このような攻撃シナリオは、APT攻撃をもくろむ技術力の高い犯罪組織で広く用いられ、今回もゼロデイ脆弱性がエクスプロイトに使用されていました。
このサイバー犯罪組織は、Windowsの脆弱性を悪用したエクスプロイトをPowerShellバックドア経由で標的のシステムに配信、実行して、標的へのアクセスに必要な権限を手に入れていました。このマルウェアのコードは質が高く、できるだけ多くのWindowsのビルドで確実に悪用できるように記述されていました。
このサイバー攻撃は、今年の夏の終わりごろに、中東の十数の組織を標的として実行されていました。攻撃には、過去にPowerShellバックドアを多用していたサイバー犯罪集団「FruityArmor」が関与していると見られています。Kaspersky Labのエキスパートはこの脆弱性を発見後、直ちにマイクロソフトに報告しました。
このエクスプロイトを検知した、カスペルスキー製品の技術は次のとおりです。
・振る舞い検知エンジン、および脆弱性攻撃ブロック
・「Kaspersky Anti Targeted Attack Platform」に搭載されている、アドバンスドサンドボックスおよびアンチマルウェアエンジン
Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「ゼロデイ脆弱性については、新しいエクスプロイトを利用した脅威の状況を積極的に監視することが重要です。弊社が常時、脅威インテリジェンスリサーチを行っていることには、新しい攻撃を発見し、さまざまなサイバー犯罪組織の標的を見極めるだけではなく、このような犯罪者たちが使っている悪意のある技術を学ぶという目的もあります。リサーチの結果、たとえば、今回の脆弱性を利用した攻撃など、さまざまな攻撃を阻止する検知技術の基盤を構築することができました」
■ ゼロデイ脆弱性を悪用したエクスプロイトを回避するために、次のことを推奨します。
・既知の脆弱性が修正されていない、もしくは、最近サイバー攻撃に利用されたソフトウェアの使用を避ける。
・使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能のあるセキュリティ製品を利用する。
・エクスプロイトを含む既知の脅威や未知の脅威から効果的にユーザーを保護する、振る舞いベースの検知機能を備えたセキュリティ製品を利用する。
■ 当ゼロデイエクスプロイト(CVE-2018-8453)の攻撃について詳しくは、Securelistブログ「Zero-day exploit (CVE-2018-8453) used in targeted attacks」(英語)をご覧ください。
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
■ 脆弱性攻撃ブロック機能について詳しくは、こちらをご覧ください。
https://www.kaspersky.co.jp/enterprise-security/wiki-section/products/automatic-exploit-prevention-aep
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます