APTによるInternet Explorerのゼロデイ攻撃
APTと呼ばれる国に支援されたハッカー集団がInternet Exploit(以下、IEと呼ぶ)の脆弱性を使って標的をマルウェア感染させていたようです。
APTとは?Zero-Day攻撃とは?に触れながら解説していこうと思います。
APTとは?
APTとは、Advanced (高度で)、Persistent (持続的な)、Thereat(脅威)の略です。
APTは、攻撃自身を指すことも攻撃を行う集団を指すこともあります。
攻撃自身を指す場合は、「APT攻撃」や「標的型攻撃」と呼ばれます。攻撃をする集団を指す場合は、よく「APT 32」などのように番号を付けて呼ばれることが多いです。
この番号は、APT攻撃を行う国に支援されたハッカー集団に「Fire eye」などのセキュリティベンダーがそれぞれの集団を区別するために付けています。
Zero-Day攻撃とは?
Zero-Day攻撃とは、まだ世の中に出回ってない脆弱性を使った攻撃です。
脆弱性を見つけた場合、その脆弱性について発見者が報告し、修正されてから世の中にこういう脆弱性がありましたと公表されます。しかし、APT攻撃を行う集団などはそのようなことをせずに、自分たちの武器としてその脆弱性情報をため込んでいます。こうすることで、脆弱性は修正されずに残るためその脆弱性を突いた攻撃が出来ます。
この攻撃のことをZero-Day攻撃と呼びます。
APTが使ったIEのZero-Day攻撃
この攻撃があったことを報告した中国のセキュリティ会社Qihoo 360によると、"double kill"と呼ばれる脆弱性を使っているようです。影響を受けるものは、最新版のIEとIEのKernelを使っている他のアプリケーションのようです。
この攻撃の詳細については下記の画像以外は開示されていませんが、細工されたWordやExcelなどのドキュメントを開くことで行われるようです。
今出来る対策
皆さんもご存知だと思いますが、不審なメールの添付ファイルやインターネット上に落ちている不審なファイルを開かないことです。「ファイルを開く前にウイルススキャンすれば良いんでしょ?」という方もいるかもしれませんが、今回のケースに限らず攻撃者も考えて送ってきているので検知されないケースがあります。そのため、ファイルを開く時に「本当にそのファイル開く必要ある?」と自分の心に聞いてみてください。
最後まで読んでいただき、ありがとうございました。
本日は、時間があれば夜にも記事を投稿したいと思います。
それでは、また次の記事までさようなら!
[参考]