Windowsストアの皆様へ：Internet Explorerの新たなバグによりハッカーがシステムを乗っ取る可能性があります - TechRepublic

出版2018年4月23日

中国のサイバーセキュリティ企業が、インターネットエクスプローラーに「ダブルキル」バグを発見した。同社によると、このバグは国家レベルのハッカー集団によってすでに悪用されている可能性があるという。

スライド資料、売り込み文句、プレゼンテーションを作成中ですか？ここで重要なポイントをご紹介します。

中国のサイバーセキュリティ企業が、悪意のある Microsoft Office ドキュメントを通じてマシンを感染させるためにすでに使用されている Internet Explorer のゼロデイ脆弱性を発見しました。
マイクロソフトはこの発見に対してまだ回答を出していないが、同社がこの脆弱性を修正するまで、IE ユーザーは不明なソースからの Office 添付ファイルを開かないように特に注意する必要がある。

中国のサイバーセキュリティ企業 Qihoo 360 は、Microsoft Internet Explorer の新たなゼロデイ脆弱性を発見した (要翻訳)。同社によると、この脆弱性はすでに実環境で使用されているという。

Qihoo の 360 セキュリティセンターは、Internet Explorer と IE カーネルを使用するその他のアプリをターゲットにしているため「ダブルキル」と呼ぶこのゼロデイ攻撃は、多くの場合政府が支援している高度な持続的脅威 (APT) によってすでに使用されていると述べています。

ゼロデイ攻撃では、マルウェアペイロードを配信するように設計された Web サイトへのリンクを含む悪意のある Microsoft Office ドキュメントを潜在的な被害者が開く必要があり、これは攻撃者が被害者を感染させる一般的な方法です。

Qihoo 360 によると、一度感染すると、攻撃者はバックドア型トロイの木馬をインストールしたり、マシンを完全に制御したりできるようになるという。

攻撃の詳細

Qihoo 360のレポートには詳細がほとんどなく、ゼロデイエクスプロイトが具体的にどのようなものか、また、配信されるソフトウェアの種類についても言及されていません。また、攻撃の背後に「既知のAPT攻撃者」や国家レベルの支援者がいるのかどうかも明らかにされておらず、多くの疑問が未解決のままとなっています。

Qihoo 360 が言及しているのは、攻撃が実際にどのように機能するかということです。悪意のある Microsoft Office ドキュメントを開くと、リモートサーバーに接続し、エクスプロイトコードと悪意のあるペイロードをサイレントにダウンロードしてインストールします。

参照: Windows のセキュリティ保護ポリシー (Tech Pro Research)

攻撃の後半段階では、パブリックユーザーアカウント制御（UAC）バイパス技術、ファイルステガノグラフィー、メモリリフレクションロード、ファイルレス実行が利用されます。これは高度な脅威であり、Microsoftはまだ正式な対応を発表していません。

Qihoo 360 は緊急にパッチのリリースを推進していると述べたが、マイクロソフトが定型的な回答以上の何らかの形でこの脆弱性を認めるまでは、感染を回避するための措置を講じるのはユーザーとセキュリティ専門家の責任である。

見慣れないソースから送られてきたMicrosoft Officeの添付ファイルは絶対に開かないでください。同僚、顧客、共同作業者に、Google CloudやOneDriveなどのクラウドサービス経由でドキュメントを共有するよう勧めるのが良いでしょう。
すべてのWindowsマシンに最新のウイルス対策ソフトウェアがインストールされていることを確認してください。ウイルス対策ソフトウェアがないと、一部の脅威を見逃してしまう可能性があります。
Microsoftのアドバイスに従い、Internet Explorerの使用をやめましょう。Microsoftは新しいEdgeブラウザはより安全だと述べています。ITチームはグループポリシーを使用して、IEの使用をやめたくないユーザーを強制的にEdgeから外し、より優れた安全なブラウザに移行させるべきです。
すべてのシステムを最新のセキュリティパッチで最新の状態に保ちましょう。WannaCryのような過去の感染拡大で見られたように、古いマシンは特に攻撃に対して脆弱です。WannaCryは、感染拡大の数か月前に修正プログラムが適用されていたWindowsの脆弱性を悪用しました。

こちらもご覧ください