Chromeのゼロデイ脆弱性を悪用した攻撃

2019年11月5日

Kasperskyは最近、当社製品に搭載の脆弱性攻撃ブロック機能により、Google Chromeの脆弱性を突くエクスプロイト(コンピューターへの不正アクセスを可能にする悪意あるプログラム)を検知しました。悪用された脆弱性はゼロデイ脆弱性であり、共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)として「CVE-2019-13720」が付与されました。

この脆弱性については当社よりGoogleへ報告済みであり、Chromeの最新版の更新(英語サイト)にて修正されています。この記事では、この脆弱性を利用する攻撃について説明します。

WizardOpium:韓国語のニュースサイトを悪用

この攻撃を、当社では「Operation WizardOpium(WizardOpium作戦)」と名付けました。攻撃は、韓国語のニュースサイトに仕掛けられた悪意あるコードから始まっていました。このコードは、第三者のWebサイトからスクリプトをダウンロードします。このスクリプトが、まずはシステムが感染対象かどうかを確認し、さらに、システムでどのブラウザーが使われているかを確認します(サイバー犯罪者の関心はバージョン65以上のWindows向けChromeにありました)。

OSとブラウザーが要件を満たす場合、スクリプトはエクスプロイトを少しずつダウンロードし、再構築して復号します。このエクスプロイトが最初に行うのは、またしてもChromeのバージョンチェックです。この段階では選択範囲を狭め、Chromeバージョン 76またはバージョン77の場合にのみエクスプロイトが動作します。サイバー犯罪者が別のバージョンのChromeに対する別のエクスプロイトを持っている可能性もありますが、確かなことは不明です。

目的のものが見つかったことを確認すると、エクスプロイトは、コンピューターメモリを不適切に使用することで解放済みメモリ使用(Use-After-Free)の脆弱性「CVE-2019-13720」の利用を試みます。メモリの操作を通じてデバイスへのデータの読み書き権限を取得すると、ただちにマルウェアをダウンロードし、復号し、実行します。

カスペルスキー製品は、このエクスプロイトを「Exploit.Win32.Generic」の検知名で検知します。技術的な詳細については、Securelistの記事(英語サイト)をご覧ください。

Chromeの更新を

韓国語のニュースサイトを読まない人であっても、Chromeをバージョン78.0.3904.87へただちに更新することをお勧めします。この脆弱性を利用するエクスプロイトがすでに1つ存在するということは、別のエクスプロイトが出現する可能性があるということです。脆弱性の詳細がどこでも入手できる状況になり次第、新たなエクスプロイトが発生する可能性が高いでしょう。

Googleからは、Windows、macOS、およびLinux向けにChromeの更新がリリースされています。 Chromeは自動更新されるので、Chromeを再起動すれば更新が適用されます。

更新がインストールされているかどうか確認するには、ブラウザー右上隅の縦に3つ並んだ点のアイコンをクリックし、[ヘルプ]-[Google Chromeについて]の順に選択します。[バージョン]の横に表示されている番号が「78.0.3904.87」以上であれば、更新が適用済みとなっています。そうでない場合、Chromeは利用可能な更新の検索とインストールを自動的に開始します。数秒経つと番号の右側に[再起動]ボタンが表示されるので、これをクリックしてChromeを再起動してください。