エクスプロイト&脆弱性
Microsoft Defender SmartScreenの脆弱性CVE-2024-21412に関する概要
2024年2月13日、Microsoft社はMicrosoft Defender SmartScreenのゼロデイ脆弱性であるCVE-2024-21412に対する修正パッチを公開しました。この脆弱性は、インターネットのショートカットに関連しています。
2024年2月13日、Microsoft社はMicrosoft Defender SmartScreenのゼロデイ脆弱性であるCVE-2024-21412に対する修正パッチを公開しました。この脆弱性は、インターネットのショートカットに関連しています。トレンドマイクロでは、「Water Hydra」と呼ばれる高度なAPT攻撃グループがこの脆弱性CVE-2024-21412を悪用し、金融市場のトレーダーを狙った巧みな攻撃キャンペーンを行っていることを確認していました。この攻撃グループは、Microsoft Defender SmartScreenを回避し、被害者の端末に「DarkMe」というリモートアクセスツール(RAT)のマルウェアを感染させることができました。
攻撃者はセキュリティ対策をバイパスする新たな方法を絶えず模索しています。そうした中、今回の脆弱性CVE-2024-21412は、既に修正済みであったSmartScreenの脆弱性CVE-2023-36025を回避することで発見されました。こうした点からも、攻撃者は、脆弱性が修正済みのソフトウェアコンポーネント周辺で新たな攻撃方法を見つけ出し、既存の修正パッチを回避できることが明らかになったといえます。
企業や組織が脆弱性、特にゼロデイ脆弱性を迅速に見つけ出し、対策を講じる能力は極めて重要です。これにより、脆弱性を突く攻撃から顧客や従業員、システムを守り、インシデントによる被害を最小限に抑え、セキュリティの強化を図ることができます。
30年以上にわたり、トレンドマイクロは、不正なサイバー活動から企業を守る先駆者として活躍し、ゼロデイ攻撃やNデイ脆弱性を初期段階で阻止してきました。トレンドマイクロのゼロデイイニシアティブ(ZDI)は、世界でも屈指の脆弱性研究組織として活動しています。この専門知識を活かし、顧客を潜在的な攻撃から守ることで、トレンドマイクロは、先進的なサイバーセキュリティ対策にコミットしています。
本稿では、脆弱性CVE-2024-21412について追加情報を提供し、攻撃経路がどのように悪用可能か、トレンドマイクロがどのように顧客をこの脆弱性から守っているかを解説します。潜在的な脅威に先んじて対処するためのプロアクティブなリサーチの重要性、そして専用のバグ報奨プログラムや社内外の専任脆弱性リサーチャーが新たな脆弱性を発見する上でどのように貢献しているかも解説します。この協力関係により、トレンドマイクロは新規の脆弱性を早期に把握し、多くの場合、メーカーが公式にパッチを公開するよりも前に、顧客に保護措置を提供しています。
攻撃グループ「Water Hydra」による脆弱性CVE-2024-21412の悪用
APT攻撃グループWater Hydra(別名:DarkCasino)は、2021年に金融業界を狙った一連の攻撃キャンペーンを開始したことで初めて注目を集めました。彼らは、金融取引フォーラムでのソーシャルエンジニアリングを駆使して犠牲者を誘い込む手法を用いました。この攻撃グループは、世界中の銀行、暗号資産プラットフォーム、外国為替及び株式取引プラットフォーム、ギャンブルサイトを標的にした攻撃を行っています。
Water Hydraは、被害者のシステムに最初に侵入する手段として脆弱性CVE-2024-21412を悪用しています。これにより、攻撃者は、被害を受けた企業や組織のネットワーク内で水平移動・内部活動を行い、攻撃活動のさらなる段階に進むことが可能となります。
この攻撃グループは、高度な技術力と洗練された手法を持ち合わせ、未公開のゼロデイ脆弱性を攻撃に利用する能力を示しています。2022年以降、被害を受けた企業や組織から情報を集めるためにマルウェアDarkMeを使用していることも分かっています。
トレンドマイクロの継続的な追跡調査において、さらに別の攻撃グループがこの脆弱性を実際に悪用していることも確認されました。こうした状況は、このようなゼロデイ脆弱性がベンダーや一般にはまだ知られていない中で、さまざまな攻撃者によってどの程度広く使用されているかを特定するのが難しいことも示しています。また、セキュリティベンダーのリサーチチームがよりプロアクティブに追跡することの重要性も浮き彫りにしています。
この件に関しては、今後さらに詳細な情報を提供する予定です。
攻撃者は、脆弱性CVE-2024-21412をどのように悪用するか
攻撃グループWater Hydraは、JPEG画像に見せかけたインターネットのショートカットを使用しました。ユーザがこれをクリックすると、脆弱性CVE-2024-21412が悪用されます。その結果、攻撃グループは、Microsoft Defender SmartScreenを回避し、攻撃の一環としてWindowsのホストを完全に乗っ取ることが可能になります。
この攻撃キャンペーンに関する詳細な技術分析は、ブログ記事「Windows Defender SmartScreenの脆弱性「CVE-2024-21412」、攻撃グループWater Hydraによる金融関連へのゼロデイ攻撃を確認」を参照ください。
脆弱性CVE-2024-21412の影響を受けるユーザ
脆弱性CVE-2024-21412は、Windows 10と11(現在サポートされているWindowsのクライアント版)に搭載されているMicrosoft Defender SmartScreenの機能に影響します。これは、元々Windows 8で導入され、ユーザが不正なURLやファイルにアクセスしようとする際に警告を出すための統合されたWindows機能です。現在サポートされている全てのWindowsクライアント版がこの脆弱性の影響を受けます。
脆弱性CVE-2024-21412へのトレンドマイクロによる対策
Microsoft社が提供した公式の修正パッチのほか、トレンドマイクロの顧客は、2024年1月16日以降、仮想パッチによって脆弱性CVE-2024-21412へ対処されています。トレンドマイクロのソリューションの一覧は、ブログ記事「Windows Defender SmartScreenの脆弱性「CVE-2024-21412」、攻撃グループWater Hydraによる金融関連へのゼロデイ攻撃を確認」を参照ください。
多くの企業や組織がMicrosoft社公式の修正パッチをテストして適用を急ぐ一方で、トレンドマイクロの顧客は既に仮想パッチで保護されているため、通常のパッチ適用のスケジュールを変更する必要がありません。また、通常、修正パッチの適用にはシステムの再起動が伴いますが、仮想パッチを利用する場合はシステムの再起動が不要です。
脆弱性CVE-2024-21412が悪用された場合の影響
攻撃グループWater Hydraは、ソーシャルエンジニアリングの手口を駆使して被害者に不正なリンクをクリックさせ、脆弱性CVE-2024-21412を悪用して被害者のホストシステムを乗っ取り、不正なコードを仕込むことができます。この攻撃グループは、金銭目的で活動していますが、サイバースパイや破壊活動を目的とする他の攻撃グループもこの脆弱性を悪用する可能性があります。
脆弱性、特にゼロデイの脆弱性の悪用は、企業や組織にとって大きなリスクとなり得ます。データ侵害はその一例であり、攻撃者がシステムに侵入し、機密データを盗み出し、重要情報の機密性を脅かす可能性があります。データ侵害の結果、規制による罰金、法的費用、風評被害など、大きな金銭的損失を被ることがあります。また、ゼロデイ攻撃はビジネスの運営を停滞させ、ダウンタイムや生産性の低下、顧客満足度の減少を引き起こすこともあります。
プロアクティブなリサーチの重要性
トレンドマイクロでは、顧客に提供するソリューションに加え、プロアクティブな取り組みとして、攻撃者が使用する最新のツールや、戦術、技術、手順(TTPs)、さらに脅威動向などを特定します。脆弱性CVE-2024-21412や、この脆弱性を悪用するグループWater Hydraによる攻撃キャンペーンに関する調査などがその一例です。このようなアプローチにより、企業や組織は潜在的な脅威を予め見越し、予防的な防御策を構築します。
バグバウンティプログラムを通じたゼロデイ脆弱性の発見と修正
バグバウンティプログラム(報奨金制度によるセキュリティ脆弱性発見プログラム)を利用することで、トレンドマイクロは、セキュリティの脆弱性を迅速に特定し、攻撃者がそれを悪用する前に保護手段を提供できます。このようなプログラムは、より多くのテスターやバグハンターがアクセスできるため、より多くの脆弱性を見つける可能性が高まり、それらの脆弱性に対する顧客保護の開発にも相乗効果をもたらします。トレンドマイクロのZDIプログラムは、これまでの年月を通じて多数の脆弱性発見に貢献してきました。そして今後もゼロデイ脆弱性の責任ある報告を提供し続けます。
2023年、トレンドマイクロでは、Microsoftからの脆弱性に対して平均51日前、ZDIが特定した脆弱性で関連ベンダーからの修正パッチに対しては平均96日前に仮想パッチを提供しました。
結論
ゼロデイ脆弱性が攻撃に悪用された場合の被害は甚大であり、企業や組織では、最高情報セキュリティ責任者(CISO)やその他の意思決定者が、ゼロデイ脆弱性のリスクへの備えと対応のために多層的なアプローチを取れるようにすることが非常に重要です。企業や組織向けには、以下のベストプラクティスを推奨します:
- 脆弱性管理:ITインフラ全体にわたり、脆弱性を継続的に特定し、優先順位を付け、修正する堅牢な管理プロセスを設ける
- スレットインテリジェンス:スレットインテリジェンスのフィードやプラットフォームを常に監視し、ゼロデイ脆弱性を含む新たな脅威に対する最新情報を入手し、セキュリティ対策を適宜調整する
- パッチ管理:各ベンダーから提供されるセキュリティパッチやアップデートを迅速に適用できるよう、厳格なパッチ管理手順を設け、ゼロデイ脆弱性への露出期間を最小化する
- インシデント対応:ゼロデイ攻撃への迅速かつ効果的な対応が可能となるよう、インシデント対応計画を策定し、定期的にテストを実施する。この対応には、攻撃の封じ込め、根絶、復旧の取り組みが含まれる
本脆弱性の詳細な解説はこちら
参考記事:
SmartScreen Vulnerability: CVE-2024-21412 Facts and Fixes
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)