Microsoft Windowsのユーザーインターフェース(UI)に関するゼロデイ脆弱性が、実際に悪用されていることが明らかになった。イスラエルのサイバーセキュリティ企業ClearSkyによると、中国が関与している可能性のある高度な脅威アクター「Mustang Panda」が、この脆弱性を利用し、標的型攻撃を行っている。

攻撃の手法は、RARアーカイブからファイルを展開する際に、Windowsのエクスプローラー上でフォルダを「空」と偽装し、隠されたファイルを実行可能な状態にするものだ。これにより、通常のファイルナビゲーションでは確認できないが、攻撃者がパスを知っていればコマンドラインから実行が可能になる。

Microsoftはこの脆弱性を低リスクと分類しているが、ClearSkyはそのステルス性が重大なセキュリティリスクをもたらす可能性を指摘する。今後の詳細な分析が待たれる中、企業や組織は早急な対応を求められている。

Windows UIのゼロデイ脆弱性が悪用される構造と攻撃の仕組み

今回明らかになったWindows UIのゼロデイ脆弱性は、RARアーカイブからファイルを展開する際の可視性を操作する手法が用いられている。この攻撃の最大の特徴は、Windowsエクスプローラー上でフォルダを「空」と見せかける点にある。攻撃者はこの不可視性を悪用し、標的システム上に痕跡をほぼ残さずにマルウェアを展開できる。

具体的には、RARアーカイブを解凍する際、隠されたファイルはWindowsのグラフィカルユーザーインターフェース(GUI)上に表示されず、標準的な「dir」コマンドでも確認できない。しかし、これらのファイルは実際にはシステム内に存在しており、攻撃者がファイルパスを特定できればコマンドラインを通じて実行が可能となる。この手法により、標的のユーザーが気付かぬままマルウェアを実行させられる危険性がある。

また、攻撃の実行には「attrib -s -h」コマンドなどが使用され、これによってシステム属性や隠し属性が変更される。最終的に、Windowsのセキュリティ機能を回避しながら「Unknown」ActiveXコンポーネントによって作成された未知のファイルが実行される恐れがある。特に企業環境では、ユーザーの操作を介さずに感染が広がるリスクが高まるため、適切なセキュリティ対策が求められる。

この手法が持つ問題は、従来のアンチウイルスソフトウェアやエンドポイント保護ツールでは検知が難しい点にある。多くのセキュリティソリューションは、ファイルの明示的な変更や異常な振る舞いを検知するが、今回の攻撃はWindowsの標準的なファイル管理機能を利用しているため、従来の検出技術では対応が困難とされる。

したがって、企業や組織は攻撃の実態を正しく理解し、ファイル管理の透明性を高めるための追加対策を講じる必要がある。これには、RARアーカイブの解凍時に不可視ファイルの有無を検出するツールの導入や、特定の圧縮形式を社内環境で制限することなどが挙げられる。

Mustang Pandaの関与と中国の国家的関与の可能性

今回のゼロデイ脆弱性の悪用が報告された攻撃グループ「Mustang Panda」は、中国が支援するハッカー集団である可能性が指摘されている。このグループは以前から、政府機関や非営利組織、民間企業に対するサイバースパイ活動を行ってきたとされ、過去の攻撃手法と今回の攻撃には類似点が多い。

Mustang Pandaは、主にカスタムマルウェアを用いたフィッシング攻撃やバックドア感染を特徴とする。これまでに観測された事例では、RARアーカイブに偽装した悪意のあるペイロードを配布し、特定の組織や政府機関を標的にしてきた。今回のWindows UIのゼロデイ脆弱性の悪用も、同グループの戦術に沿ったものであり、特定のターゲットに対する標的型攻撃の可能性が高い。

ClearSky Cyber Securityは、この攻撃が標的型であると分析しており、無差別なマルウェア拡散とは異なると指摘する。つまり、攻撃者は事前にターゲットを選定し、特定の環境でのみ攻撃を実行する戦略を取っていると考えられる。これにより、従来のマルウェア検知システムでは発見が難しく、特定の企業や政府機関が被害を受けやすくなる。

中国政府がMustang Pandaを直接支援しているかどうかは明らかではないが、同グループの攻撃対象や戦術は、中国政府の戦略的利益と一致しているとされる。過去の事例では、同グループの標的は東南アジア諸国や欧米の政府関連機関が多く含まれており、国家的な意図が背景にあると見る専門家もいる。

この脆弱性が標的型攻撃に利用される以上、企業や政府機関は従来のセキュリティ対策だけでなく、脅威インテリジェンスを活用した早期警戒システムの導入が求められる。特に、Windows OSを業務の中心に据える組織は、最新のパッチやセキュリティアップデートの適用を徹底し、脆弱性を悪用した攻撃に備える必要がある。

Microsoftの対応と今後のリスク管理の必要性

Microsoftは今回の脆弱性を認識しているものの、そのリスク評価を「低」と分類しており、緊急性のある対応を示していない。これは、現時点で大規模な攻撃キャンペーンが確認されていないことや、ゼロデイエクスプロイトの利用が特定の標的に限られていることが理由と考えられる。

しかし、この評価が必ずしも安全を意味するわけではない。Microsoftの対応が遅れることで、攻撃者がこの脆弱性をさらに洗練させ、広範な攻撃へと発展する可能性がある。特に、Mustang Pandaのような高度な脅威アクターは、国家支援のもとで脆弱性の悪用手法を進化させることができるため、企業や組織はMicrosoftの評価に依存せず、自主的なリスク管理を行うべきである。

今後の対応として、企業や組織はセキュリティポリシーの見直しを進めるべきである。例えば、RARアーカイブの使用制限、Windowsのファイル可視性に関する独自の監視機能の強化、特定のコマンドの実行制御などが有効な対策となる。また、エンドポイント検知・対応(EDR)ソリューションを活用し、脆弱性を狙った異常なファイル操作を検知する仕組みを整えることも重要だ。

Microsoftが今後のパッチでこの問題にどのように対処するかは不透明であるが、ゼロデイ脆弱性を狙った攻撃が加速する中、企業のセキュリティチームは迅速な対応を求められている。今回の事例は、脆弱性がどれほど深刻であるかよりも、攻撃者がそれをどのように悪用できるかが脅威の本質であることを示している。

Source:Cyber Security News