トレンドマイクロは、2014年10月に標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」を報告しました。この作戦は、遅くとも 2007年頃から活動していると弊社の調査から明らかになっています。
今回、「Pawn Storm 作戦」を仕掛ける攻撃者が Adobe Flash Player に存在するゼロデイ脆弱性を自身の攻撃に利用していることを確認しました。問題のゼロデイ脆弱性は、いまだ更新プログラムがリリースされておらず、Adobe Flash Player は、現時点では、この攻撃に対して脆弱な状況にあります。
「Pawn Storm 作戦」における直近の事例では、複数国の外務省が標的型メールを受け取っていました。本文内には、最新ニュースに関する情報についてのリンクが記載されており、これらのリンク先に誤って接続すると、脆弱性を利用するエクスプロイトコードが組み込まれた Webサイトに誘導されることとなります。この攻撃において、標的型メールのトピックとして以下の内容が利用されていました。
- Suicide car bomb targets NATO troop convoy Kabul
- Syrian troops make gains as Putin defends air strikes
- Israel launches airstrikes on targets in Gaza
- Russia warns of response to reported US nuke buildup in Turkey, Europe
- US military reports 75 US-trained rebels return Syria
今回の攻撃で注視すべき点は、問題の Adobe Flash Player のゼロデイ脆弱性を利用するエクスプロイトコードが組み込まれた URL は、今年 4月に報告した、北大西洋条約機構(NATO)やアメリカ大統領官邸(ホワイトハウス)を標的にした攻撃に利用されていた URL と類似していることです。
各国の外務省は、「Pawn Storm 作戦」において、格好の標的となっています。不正プログラムによる攻撃以外にも、偽の「Outlook Web Access(OWA)」が標的となる複数の省庁に対して設置されていました。こうした攻撃の手法は、単純な一方で非常に効果的なフィッシング攻撃に利用されており、こうしたフィッシング攻撃で個人情報が窃取されることになります。また、ある外務省においては、受信メールの DNS設定が改ざんされていることも判明しています。つまり、「Pawn Storm 作戦」では、2015年中長らくの間、受信メールを傍受していたことを示唆しています。
弊社の解析から、問題の Adobe Flash Player のゼロデイ脆弱性は、同ソフトウェアのバージョン 19.0.0.185 および 19.0.0.207 に影響を与えることが判明しています。
図1:影響を受けるAdobe Flash Playerのバージョン
トレンドマイクロは、今回確認したゼロデイ脆弱性について、すでに Adobe に報告しています。今後もこの標的型サイバー攻撃を調査し、随時、本ブログにて報告します。
協力執筆者:Brooks Li、Feike Hacquebord および Peter Pi
参考記事:
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)