Googleの脆弱性対策チームが発見した「非常に洗練されたサイバー攻撃」の手法とは？

iPhoneを無線で操作可能な脆弱性の発見や、ベンダーへの脆弱性報告といった活動で知られるGoogleの脆弱性研究チーム「Project Zero」が「非常に洗練されたサイバー攻撃」を発見し、その攻撃手法を報告しています。

Project Zero: Introducing the In-the-Wild Series
https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html

Project Zeroは「ゼロデイ攻撃を困難にする」ことを目的として、日々セキュリティに関する研究を行っています。ゼロデイ攻撃を困難にする方法の1つは、すでに知られているゼロデイ攻撃を分析することですが、それだけでは未知のゼロデイ攻撃を防ぐことはできません。そこで、Project ZeroはGoogleの脅威分析グループ「Threat Analytis Group(TAG)」と協力して未知のゼロデイ攻撃を探索。その結果、2020年第1四半期に「非常に洗練されたサイバー攻撃」を発見しました。

Project Zeroによると、「非常に洗練されたサイバー攻撃」は、攻撃対象者が訪れるウェブサイトなどを改ざんすることで攻撃対象デバイスにマルウェアを感染させる水飲み場型攻撃を用いて攻撃対象デバイスに侵入し、さまざまなコードを実行するとのこと。さらに、攻撃対象デバイスが搭載するOSに応じて異なる攻撃手段(エクスプロイト)を実行するとしています。

以下のイメージは、今回発見されたサイバー攻撃の概略を示しています。この攻撃では、まず複数のウェブサイトを改ざんしてマルウェアを仕込んでおき、そのマルウェアに感染したデバイスがWindows・Androidのどちらを搭載しているか認識。その後、それぞれのOS向けに作られたエクスプロイトを実行します。

これらのエクスプロイトは、攻撃の初期段階で、Google Chromeのゼロデイ脆弱性を含む複数の脆弱性を利用して攻撃対象候補から情報を取得します。攻撃者は取得した数十種類の情報を元に、攻撃対象候補に対する攻撃の続行・中断を判断し、攻撃を続ける場合は、Windowsのゼロデイ脆弱性を含む3つのゼロデイ脆弱性や、Androidの複数の脆弱性を利用して権限昇格攻撃を試みます。

これらのエクスプロイトはモジュールごとに分割して設計されており、効率性・柔軟性に優れていたとのこと。また、エクスプロイトが大規模で複雑なコードで構成されていたことに加え、大量のアンチ分析システムが組み込まれていたため、Project Zeroはエクスプロイトの分析に数カ月を要しました。

Project Zeroは分析した「非常に洗練された攻撃」の詳細な手法を公開しており、「この情報を公開することで、十分なリソースを持ったサイバー攻撃グループの存在を多くの人が認識することを願っています」と述べています。

なお、今回の分析で発見された脆弱性は、すべて修正済みとのことです。