Chromeのゼロデイ脆弱性を悪用した攻撃

Google Chromeにゼロデイ脆弱性が見つかり、攻撃に利用されていることが判明しました。Chromeをすぐに更新することをお勧めします。

Kasperskyは最近、当社製品に搭載の脆弱性攻撃ブロック機能により、Google Chromeの脆弱性を突くエクスプロイト(コンピューターへの不正アクセスを可能にする悪意あるプログラム)を検知しました。悪用された脆弱性はゼロデイ脆弱性であり、共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)として「CVE-2019-13720」が付与されました。

この脆弱性については当社よりGoogleへ報告済みであり、Chromeの最新版の更新(英語サイト)にて修正されています。この記事では、この脆弱性を利用する攻撃について説明します。

WizardOpium:韓国語のニュースサイトを悪用

この攻撃を、当社では「Operation WizardOpium(WizardOpium作戦)」と名付けました。攻撃は、韓国語のニュースサイトに仕掛けられた悪意あるコードから始まっていました。このコードは、第三者のWebサイトからスクリプトをダウンロードします。このスクリプトが、まずはシステムが感染対象かどうかを確認し、さらに、システムでどのブラウザーが使われているかを確認します(サイバー犯罪者の関心はバージョン65以上のWindows向けChromeにありました)。

OSとブラウザーが要件を満たす場合、スクリプトはエクスプロイトを少しずつダウンロードし、再構築して復号します。このエクスプロイトが最初に行うのは、またしてもChromeのバージョンチェックです。この段階では選択範囲を狭め、Chromeバージョン 76またはバージョン77の場合にのみエクスプロイトが動作します。サイバー犯罪者が別のバージョンのChromeに対する別のエクスプロイトを持っている可能性もありますが、確かなことは不明です。

目的のものが見つかったことを確認すると、エクスプロイトは、コンピューターメモリを不適切に使用することで解放済みメモリ使用(Use-After-Free)の脆弱性「CVE-2019-13720」の利用を試みます。メモリの操作を通じてデバイスへのデータの読み書き権限を取得すると、ただちにマルウェアをダウンロードし、復号し、実行します。

カスペルスキー製品は、このエクスプロイトを「Exploit.Win32.Generic」の検知名で検知します。技術的な詳細については、Securelistの記事(英語サイト)をご覧ください。

Chromeの更新を

韓国語のニュースサイトを読まない人であっても、Chromeをバージョン78.0.3904.87へただちに更新することをお勧めします。この脆弱性を利用するエクスプロイトがすでに1つ存在するということは、別のエクスプロイトが出現する可能性があるということです。脆弱性の詳細がどこでも入手できる状況になり次第、新たなエクスプロイトが発生する可能性が高いでしょう。

Googleからは、Windows、macOS、およびLinux向けにChromeの更新がリリースされています。 Chromeは自動更新されるので、Chromeを再起動すれば更新が適用されます。

更新がインストールされているかどうか確認するには、ブラウザー右上隅の縦に3つ並んだ点のアイコンをクリックし、[ヘルプ]-[Google Chromeについて]の順に選択します。[バージョン]の横に表示されている番号が「78.0.3904.87」以上であれば、更新が適用済みとなっています。そうでない場合、Chromeは利用可能な更新の検索とインストールを自動的に開始します。数秒経つと番号の右側に[再起動]ボタンが表示されるので、これをクリックしてChromeを再起動してください。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?