ロシアに関連するとされる「RomCom」グループが、FirefoxとWindowsに存在したゼロデイ脆弱性を組み合わせ、ヨーロッパや北米の政府機関や民間セクターを標的にした洗練されたサイバー攻撃を展開した。この攻撃は、被害者を悪意あるウェブサイトに誘導し、Firefoxの「use-after-free」バグを悪用して悪質なコードを実行。その後、Windowsのセキュリティ機能を回避する形でカスタムバックドアをインストールし、システムを完全に制御したとされる。

ESETの調査によれば、攻撃対象は製薬業界や法務分野を含む多岐にわたり、特に欧米諸国に広範囲な被害を与えた。本件は、国家支援が疑われる高度なサイバー攻撃の実例として、企業や個人に対して最新のセキュリティ対策の重要性を改めて示した。

FirefoxとWindowsの脆弱性を突いた複合攻撃の仕組み

RomComグループによる今回の攻撃は、ゼロデイ脆弱性の巧妙な組み合わせによるものであった。Firefoxのアニメーション機能に存在した「use-after-free」バグ(CVE-2024-9680)は、悪意のあるウェブページを訪れるだけで攻撃コードを実行可能にする脆弱性である。この脆弱性を利用してブラウザセキュリティの初期防御を突破した後、攻撃者はWindowsのセキュリティ「サンドボックス」を回避する新たなゼロデイ脆弱性(CVE-2024-49039)を利用し、システム全体の制御を可能にした。

特筆すべきは、これらの攻撃が被害者に気付かれることなく進行する点である。攻撃者は「redir」や「red」といった接頭・接尾辞を利用し、公式機関を装ったウェブサイトを構築することで被害者を誘導。攻撃成功後には、ユーザーを正規のウェブサイトに戻すことで攻撃痕跡を隠ぺいするという二重の策略を実施している。

これらの事実から浮かび上がるのは、攻撃の高度な設計である。複数のゼロデイ脆弱性を連携させる手法は国家支援が疑われる水準のものであり、組織の情報セキュリティ対策の根本的な見直しが求められることを示唆している。

国家支援が疑われる背景とサイバー戦の新潮流

RomComグループの活動は、国家支援を受けたサイバー攻撃の典型例として注目されている。このグループは「Storm-0978」や「Tropical Scorpius」としても知られ、過去にも特定の国や産業を標的にした攻撃を実施してきた経緯がある。ESETの報告では、ウクライナの政府機関や米国の製薬業界が今回の主要なターゲットとなっており、特に軍事的または経済的な情報収集を目的とした可能性が高い。

一方で、ゼロデイ脆弱性を短期間で修正したMozillaとMicrosoftの対応は称賛に値する。両社は、攻撃発見後24時間以内に修正プログラムを提供するなど迅速な対応を実施したが、これでも攻撃の初期段階での被害を完全には防げなかった点を見逃してはならない。

こうした状況は、サイバー戦が技術的競争から戦略的情報操作へと進化していることを象徴している。セキュリティソフトウェアや防御体制が重要であることは明らかであるが、それ以上に情報戦略を見据えた包括的な対策が求められている。

ゼロデイ攻撃の教訓と企業が取るべき行動

今回の事件は、ゼロデイ攻撃がいかに大きな脅威であるかを改めて浮き彫りにした。ゼロデイ攻撃とは、脆弱性が公に認知される前に悪用される手法であり、防御策が準備されていない状態で攻撃を受けるため、被害の拡大を防ぐことが極めて難しい。特に、複数の脆弱性を連携させた攻撃は、単一の対策では防げない複雑さを持つ。

企業や組織が取るべき行動として、まず挙げられるのは定期的なソフトウェア更新である。これに加え、不審なメールやウェブサイトへのアクセスを防ぐための社員教育や、侵入後の迅速な対応を可能にする監視体制の構築も不可欠である。また、脆弱性を早期に発見し、修正する能力を持つセキュリティベンダーとの連携が、危機管理のカギとなるだろう。

今回のケースでは、攻撃者が高度な技術を駆使しても、基本的な防御策が機能する可能性が示された。重要なのは、脅威を過小評価せず、常に最新の情報と技術を駆使して先手を打つ姿勢である。