本記事は、Microsoft Malware Protection Center Threat Research & Response のブログ “Our commitment to our customers’ security” (2016 年 11 月 1 日米国時間公開) を翻訳した記事です。
この記事は Terry Myerson (Executive Vice President, Windows and Devices Group) によるゲスト投稿です。
Windows は、報告されたセキュリティに関する問題を迅速に調査し、影響を受けるデバイスをプロアクティブにできる限り早くアップデートすることをお客様に確約している唯一のプラットフォームです。マイクロソフトはこの責任を大変真剣に受け止めています。
先日、Microsoft Threat Intelligence が STRONTIUM と呼んでいる活動グループが小規模なスピアフィッシング キャンペーンを実施しました。 Windows 10 Anniversary Update 上の Microsoft Edge を利用されているお客様は、現在確認されているこのバージョンの攻撃から保護されています。 Google の Threat Analysis Group によって識別されたこの攻撃キャンペーンは、特定のお客様を標的として Adobe Flash およびダウンレベルの Windows カーネルに存在する 2 つのゼロデイ脆弱性を悪用しました。
この悪意のあるキャンペーンの調査とダウンレベル バージョンの Windows に対する修正プログラムの作成について、Google および Adobe と連携を取っています。そして、すべてのバージョンの Windows 用の修正プログラムは現在多くの業界パートナーにより検証されており、これらは次の月例の更新プログラムのリリース日である 2016 年 11 月 8 日 (米国時間) に公開される予定です。
マイクロソフトは、テクノロジー業界に責任をもって関与する上で、お客様を第一とし、協調的な脆弱性の公開 (英語情報) をすることが必須であると考えています。修正プログラムが広く公開され検証される前に脆弱性情報を公開した Google の決断は評価できるものではなく、またお客様をさらなるリスクにさらすことになります。
このような種類の複雑な攻撃に対応するために、マイクロソフトは、すべてのお客様が Windows 10 にアップグレードすることをお勧めします。Windows 10 は私たちがこれまで作ったオペレーティング システムの中で最もセキュリティに優れ、セキュリティ スタックのどのレイヤーにいるコンシューマーやエンタープライズに対しても高度な保護を提供します。Windows Defender Advanced Threat Protection (ATP) を有効にしているお客様は STRONTIUM による攻撃の試行を検出することができます。これは、ATP の包括的な行動検出分析と最新の脅威インテリジェンスにより実現されるものです。
-Terry
STRONTIUM: その簡単な歴史について
マイクロソフトは、読者がサイバー攻撃の真の原因を理解できるように脅威活動の詳細 (マルウェア、インフラストラクチャ、被害者の分類、および攻撃者の技術) を_活動グループ_ごとに集約しています。STRONTIUM は通常、政府機関、外交機関、および軍事組織とともに、軍事産業や公的な政策研究所などの関連する民間組織を標的とする活動グループです。マイクロソフトは 2016 年に起こったゼロデイの悪用について、追跡しているほかのどのグループよりも多く STRONTIUM が関わっていると分析しています。STRONTIUM が頻繁に使う手口は、1 人目の侵害された電子メール アカウントから 2 人目の被害者へ悪意のある電子メールを送り、コンピューターの侵害に成功するまで特定の標的に対して何か月も攻撃を続けるといったものです。一度内部に侵入すると、STRONTIUM は被害者のネットワーク内を自由に移動し、常時アクセスできるよう可能な限り深く侵入し、機密情報を盗み取ります。
悪用について
この攻撃を成功させるためには、STRONTIUM は以下の 3 項目を達成する必要があります。
- Flash を悪用してブラウザー プロセスを制御する
- ブラウザー サンドボックスをエスケープするために権限を昇格する
- 被害者のコンピューターへのアクセスを確保するためにバックドアをインストールする
マイクロソフトはこれらの手順を無効にするいくつかの脅威防御および悪用緩和の機能を提供しています。
Adobe Flash の悪用: CVE-2016-7855
Windows Defender ATP Exploit Research Team およびマイクロソフト セキュリティ レスポンス センター (MSRC) が実施した分析によると、STRONTIUM が利用した Adobe Flash の脆弱性 はメモリ開放後使用の問題であり、ActionScript ランタイム コードに影響を及ぼすものです。Adobe はこの脆弱性を修正する更新プログラムを公開しました。マイクロソフトは Adobe と協力し、この種類の悪用に対する追加の緩和策の実装に積極的に取り組んでいます。
特権の昇格
STRONTIUM による特権昇格の悪用の標的となった Windows カーネルの脆弱性は、Windows Vista から Windows 10 Anniversary Update までのすべてのオペレーティング システムに存在します。しかし、この攻撃を受けるよりも前にマイクロソフトは Windows 10 Anniversary Update バージョンの Win32k カーネル コンポーネントに新しい悪用緩和策を実装しました。プロアクティブな内部での研究に基づき開発されたこれら Windows 10 Anniversary Update に含まれる緩和策は、現在確認されているすべての悪用インスタンスを防止します。
バックドアのインストール
特権の昇格が成功するとバックドアがダウンロードされてファイル システムに書き込まれ、ブラウザー プロセスにおいて実行されます。しかし、バックドア DLL (およびその他の信頼できないソフトウェア) は厳格なコード整合性ポリシーによってブロックすることができます。Microsoft Edge は既定でこの悪用後のステップを防止するコード整合性を実装しています。また Internet Explorer およびその他のブラウザーのユーザーは、Device Guard を使用することで脆弱性から保護されます。
Windows Defender ATP での攻撃の検出
複数の行動および機械学習による検出ルールが、現在の STRONTIUM による攻撃に対し、キルチェーンのさまざまな要素において警告を出します。Windows Defender ATP は一般的に、ブラウザー プロセスによるディスク上への見慣れない DLL ライブラリの作成や、予期しないプロセス トークンや完全性レベルの変更 (EoP)、および異常なプロセス条件下で最近作成された DLL ライブラリの読み込み (図 3) など、攻撃の複数の段階をシグネチャなしで検出することができます。
図 3: STRONTIUM が利用するカーネル EOP の Windows Defender ATP による 検出
さらに、Microsoft Threat Intelligence により発見されたこの攻撃特有の脅威インテリジェンスと IOC 機能が Windows Defender ATP および Office 365 ATP に追加されました。これらのアラートは、Windows Defender ATP のカスタマー向けポータルで提供されている既存の STRONTIUM に関する脅威の概要および詳細プロファイルに沿うものです。
詳細については、Windows 10 上の Windows Defender ATP サービスの特徴および機能と、侵害後の高度な脅威の処理に関するホワイトペーパーを参照してください。
これらの問題を調査する上で支援いただいた Google Threat Analysis Group の Neel Mehta 氏と Billy Leonard 氏に心から感謝いたします。