GoogleがIEのゼロデイ脆弱性を突いて韓国のユーザーを狙った北朝鮮発の攻撃を解説

GoogleがIEのゼロデイ脆弱性を突いて韓国のユーザーを狙った北朝鮮発の攻撃を解説

　米Googleは12月7日（現地時間、以下同）、同社の脅威分析部門Google’s Threat Analysis Group（TAG）が10月下旬に発見したゼロデイ脆弱性「CVE-2022-41128」についての解説を公表した。同脆弱性はMicrosoft11月の月例セキュリティ更新プログラムで修正されている。

　「CVE-2022-41128」は、北朝鮮政府が支援する「APT37」と呼ばれる攻撃グループによるものと思われる、韓国のユーザーを標的とした攻撃から発見された。「Internet Explorer」のJScriptエンジン「jscript9.dll」に存在した、JScriptエンジンの型混乱につながるJIT最適化の問題で、11月3日にCVE番号が割り当てられている。

　攻撃は、ソウルの梨泰院周辺で10月29日に発生した大規模な転倒事故に関するDOCX文書を介して行われた。デフォルトのWebブラウザーが「Internet Explorer」でない場合でも感染する。

梨泰院周辺で大規模な転倒事故に関するDOCX文書

　攻撃が仕掛けられたDOCX文書を「Microsoft Word」で開くと、まずリッチテキストファイル（RTF）リモートテンプレートをダウンロードし、攻撃者の制御するリモートHTMLコンテンツを取得する。「Microsoft Word」はHTMLコンテンツを「Internet Explorer」でレンダリングする仕様のため、「CVE-2022-41128」を悪用して任意のコードを実行される恐れがある。

　攻撃に使われたDOCX文書には「Mark of the Web」が適用されるため、RTFリモートテンプレートをダウンロードされる前にユーザーが保護ビューを無効にする必要がある。しかしいったん保護が無効にされれば、攻撃コードにより「Internet Explorer」のキャッシュと履歴が消去され、悪用の痕跡を残さない。

「Mark of the Web」による保護

　TAGは、セキュリティコミュニティや攻撃の標的になる可能性がある企業・個人の意識を高めるため、このような攻撃の戦術とテクニックといった分析結果の共有に取り組み、エコシステム全体の保護を強化したいと考えているという。