Googleの脆弱性対策チームが「11個もの未知の脆弱性が熟練したハッカーに使われていた」と報告
対策が発見されていないソフトウェアの脆弱(ぜいじゃく)性を利用するゼロデイ攻撃を専門に研究するGoogleのセキュリティチーム・Project Zeroが、「Windows・iOS・Androidを実行するデバイスを狙うハッカーグループにより、7個のゼロデイ脆弱性が使われていた」と報告しました。これと同じとみられるグループは、2020年1~2月にも4個のゼロデイ脆弱性を使用していたとみられており、合わせて11個ものゼロデイ脆弱性を駆使して攻撃していたとのことです。
Project Zero: In-the-Wild Series: October 2020 0-day discovery
https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html
“Expert” hackers used 11 zerodays to infect Windows, iOS, and Android users | Ars Technica
https://arstechnica.com/information-technology/2021/03/expert-hackers-used-11-zerodays-to-infect-windows-ios-and-android-users/
Project Zeroの研究者であるMaddie Stone氏は2021年3月18日、7個のゼロデイ脆弱性を使用するハッカーグループについて報告しました。このグループは攻撃対象がアクセスするウェブサイトを改ざんしてマルウェアを仕込み、訪れたユーザーのデバイスにマルウェアを配信する水飲み場型攻撃を行っているとのこと。
このハッカーグループは堅固なコードと複数の手法を連鎖的に組み合わせた攻撃を行っており、セキュリティチームは「非常に洗練されている」と指摘。このグループは2020年1~2月にもWindowsやAndroidユーザーを狙った水飲み場攻撃を仕掛けていることが、Project Zeroによって突き止められています。この時グループが使用していたゼロデイ脆弱性は4個であり、最新のパッチが適用されたChromeにも攻撃を仕掛けることができたそうです。
Googleの脆弱性対策チームが発見した「非常に洗練されたサイバー攻撃」の手法とは? - GIGAZINE
前回の発見から8カ月が経過した2020年10月、Project Zeroは同じグループが7個のゼロデイ脆弱性を使用した水飲み場攻撃を行っていることを発見しました。ターゲットを狙う「水飲み場」とされたウェブサイトは訪問者のブラウザとOSを識別し、それぞれに最適な攻撃手法を用意したページにリダイレクトしていました。Project Zeroによる前回の報告を受けてパッチが適用され、これまで使用していたゼロデイ脆弱性が使用できなくなった後も、ハッカーグループはすぐさま新たなゼロデイ脆弱性を使った攻撃を実装していたそうです。
7個のゼロデイ脆弱性は以下の通り。今回はWindowsとAndroidだけでなく、iOSデバイスの攻撃に使用されるゼロデイ脆弱性も発見されています。
・CVE-2020-15999……Chromeのフォント描画ライブラリ・Freetypeのヒープバッファオーバーフロー攻撃
・CVE-2020-17087……Windowsのcng.sysを狙ったヒープバッファオーバーフロー攻撃
・CVE-2020-16009……Chromeのコンパイラ・TurboFanの非推奨マップにおける型の取り違え攻撃
・CVE-2020-16010……Android版Chromeのヒープバッファオーバーフロー攻撃
・CVE-2020-27930……SafariのType 1フォントを介した任意スタックの読み取り/書き取り
・CVE-2020-27950……mach messageトレイラーにおけるiOSのXNUカーネルメモリの開示
・CVE-2020-27932……turnstilesを用いたiOSカーネルの方の取り違え攻撃
Stone氏は投稿の中で、「これらの脆弱性は最新の実行時コンパイラからフォントバグの大規模なキャッシュまで、かなり広範囲の問題をカバーしています」と指摘。攻撃手法の難読化によって分析に非常に時間がかかったそうで、中にはProject Zeroにとっても斬新だと感じられる手法もあったそうです。
なお、一連の攻撃を行ったグループについての詳細情報は明らかになっておらず、ハッカーたちがすでに知られているグループの一員なのか、それとも新たなグループなのかは今後の関心事となっています。
・関連記事
Googleの脆弱性対策チームが発見した「非常に洗練されたサイバー攻撃」の手法とは? - GIGAZINE
北朝鮮のハッカーがChromeのゼロデイ脆弱性を利用して行った攻撃についてMicrosoftがレポートを公開 - GIGAZINE
Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 - GIGAZINE
iPhoneを無線で操作可能な脆弱性をGoogleの「Project Zero」が発見 - GIGAZINE
Googleの脆弱性発見チーム「Project Zero」は「ベンダーへの脆弱性報告」に頭を悩ませている - GIGAZINE
推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示 - GIGAZINE
・関連コンテンツ