January 14, 2010

グーグルは中国にIEゼロデイ攻撃を受けた:Operation “Aurora” Hit Google, Others - McAfee

So, it wasn't Adobe's PDF... McAfee concluded that an unpatched vulnerability in Microsoft's IE was used by hackers in China to break into corporate networks of 34 US firms including Google and Adobe.

See related stories on Techmeme.


中国のハッカーがグーグルのネットワーク侵入に使ったのは、マイクロソフトのブラウザ「Internet Explorer」のセキュリティーホールだった(なんてこったい!)。

McAfee社ジョージ・カーツCTOが先ほどブログに発表したもので、先月半ばから今月はじめにかけて攻撃されたうち、数社のハックに使われたのはIEだけだったそうだ。

Operation “Aurora” Hit Google, Others
by George Kurtz, January 14th, 2010

火曜Googleが発表した攻撃 =我々はこれを「Aurora」と命名した= について、McAfee Labsは現在24時間体制で徹底調査を進めている。

作業は被害を受けた複数の企業と政府・捜査当局と連携を取りながら行っており、調査では侵入に使用が確認された不正コードをいくつか分析した。

Internet Explorerに新たなゼロデイ(脆弱性)
結果、今回の大規模な攻撃に関わるマルウェアのサンプルに、新型のまだ一般に知られていないMicrosoft Internet Explorerの脆弱性を悪用しているものがあることが判明した。この脆弱性についてはMicrosoftに既に報告を行った。もうすぐ同社が本件に関する警告を公開すると思う。

標的を絞った攻撃ではよくあることだが、侵入者はターゲットをひとりか数人の個人に絞って、その人向けに特別にあつらえた攻撃(メール)を送ることで組織へのアクセスを確保していた。これらの人物が狙われた理由はおそらく、価値の高い知的所有物(IP)にアクセスできる可能性の高い相手と判断してのことだろう。攻撃は一見信頼のおけるソースから届いたものに見えるため、受け手はつい罠にはまってリンクやファイルをクリックしてしまう。するとその時点でMicrosoft Internet Explorerの脆弱性を突いてデータ搾取が起こる。

ひとたびマルウェアがダウンロード、インストールされるとバックドアが開き、攻撃主は侵入したシステムのコントロールを完全に掌握し偵察が可能となる。あとは価値の高い攻撃目標を割り出し、その会社から価値あるデータを吸い上げることができる、というわけだ。

我々の捜査では、Microsoftの最近のOSリリースすべて(Windows 7含む)においてInternet Explorerの脆弱性が確認されたが、これまでのところ、このベクター(媒介)の使用を確認できた攻撃主は、Internet Explorer 6にフォーカスを絞っている。Microsoftは我々と共同で作業を進めており、同社の協力には感謝している。

このように、今回の事件であ攻撃のベクターのひとつとしてInternet Explorerの脆弱性が使われていたことが確認できたわけだが、攻撃の多くはゼロデイの脆弱性に加え、高度なソーシャルエンジニアリングシナリオを組み合わせたカクテルを頻繁に使っているため、まだ他にも我々が掴んでいない攻撃のベクターがある可能性も充分考えられる。ただし、一部で報道された事実とは裏腹に、調査ではこれらの攻撃でAdobe Readerの脆弱性が原因になった形跡は確認されなかった。

オペレーション“Aurora”
ところで何故「Aurora」なのか不思議に思ってる方も多いと思う。我々の分析では「Aurora」は攻撃主のマシンにあるファイルパッチの一部で、この攻撃に関連が確認されたマルウェアのバイナリの2つにこれが盛り込まれていた。このファイルパッチはよくコード作成者が、開発者のマシンのどこにデバッグシンボルとソースコードがあるか所在を示す目的で挿入するものだ。我々が思うに、攻撃主(たち)はこのオペレーションを仲間内でこう呼んでいたのではないかと思う。(以下略)

-follow George on Twitter at http://www.twitter.com/george_kurtzCTO


ワシントン・ポストが国会・業界筋から得た情報によると、被害を受けた企業はグーグル、ヤフー、シマンテック、アドビ、ノースロップ・グルマン、ダウ・ケミカルを含む少なくとも34社という(VeriSign iDefenseの発表では33社)。グーグルのハッカー逆ハックについてはギズにまとめた。



[McAfee Security Insights Blog]

2 comments:

yutakarlson said...

■中国発のサイバー攻撃は「重大なターニングポイント」--マカフィー幹部が言及-情報統制をする中国共産党に未来はない?!
http://yutakarlson.blogspot.com/2010/01/vs.html
こんにちは。中国によるサイバー攻撃、検閲などの統制など、非常に問題です。私は、結局こうしたことをしなければならない、中国共産党に将来はないと思います。いずれ、中国は、分裂してまとまな国と、北朝鮮のような複数の国々に分裂すると思います。現在、中国がもてはやされていますが、実体はとんでもないの一言につきると思います。私自身は、中国とはまともになってから親交を深めれば良いと思います。それよりも、成長も著しく、親日的なインドに目を向けるべきだと思います。詳細は、是非私のブログを御覧になってください。

satomi said...

インドも攻撃されたみたいですよね、そっちはpdf経由ですけど…米軍の下請け各社が今週受けた攻撃と同じだそうです。

検閲回避ツールも結構出回ってるので、徐々に変わってくとは思いますけどねー。公式発表を一皮剥けば一般市民の感覚はそんなに変わらないと思います。ただ、このセキュリティの問題はちょっと気がかりですね。

Post a Comment