ゼロデイ攻撃はソフトウエアの開発者にとってもサイバー犯罪者にとっても時間との戦いであり、一刻を争う攻防である。ソフトウエアの開発者は、サイバー犯罪者からの攻撃を阻止するために一刻も早く修正パッチを公開する必要があるし、サイバー犯罪者は、修正パッチ公開前の時間を最大限に利用し攻撃を仕掛けたい。新しいぜい弱性が確認されるたびに、ソフトユーザー開発者がそのぜい弱性に対応する新たな修正パッチを公開しなくてはいけない、という事実が、その攻防をさらに激化させている。そして、この両者の争いがインターネットを混乱に巻き込んでいる。

どのような脅威か

 2010年1月、Adobe ReaderおよびAdobe Acrobatにおける深刻なぜい弱性を狙った一連の攻撃が確認され、話題になった。Internet Explorer(IE)のぜい弱性を悪用したゼロデイ攻撃として「HYDRAQ」の脅威が発見されたのもちょうどそのころである。このぜい弱性関連の攻撃では、アドビ製品、特に広く普及しているAdobe Readerが悪用された。2009年12月15日、アドビはぜい弱性「CVE-2009-4324」に関するセキュリティ情報を公表している。ユーザーがJavaScriptの有効なコンピュータ上で不正なPDFファイルを開いてしまった場合、このぜい弱性により、不正なPDFファイルは難読化された不正なJavaScriptを読み込む。アドビは、セキュリティ情報で、この問題を解決するための対応策を2010年1月12日までに公開する予定だと発表した。

 しかし予想した通り、サイバー犯罪者がこのぜい弱性を利用するのに大した時間はかからなかった。アドビ製品に存在するぜい弱性を悪用した最初の攻撃が2009年12月に発生し、不正PDFファイルがインターネット上に出回った。トレンドマイクロでは、これら不正ファイルの検体を採取し、それぞれ「TROJ_PIDIEF.PGT」、「TROJ_PIDIEF.PGS」および「TROJ_PIDIEF.PGU」として検出した。

 最初の攻撃の場合、ユーザーが、特別に細工された不正PDFファイルをスパムメールを介して受信するか、あるいは、悪意のあるWebサイトにアクセスした際に誤ってダウンロードしてしまうところから始まる。その後、サイバー犯罪者は、Adobe ReaderおよびAdobe Acrobatに存在するぜい弱性「CVE-2009-4324」を悪用し、不正なPDFファイルに埋め込まれた不正コードをリモートで実行できるようになる。この攻撃では、こうして感染コンピュータ内に不正プログラムが作成された。

 第2の攻撃も、アドビが修正パッチを公開する前の、1月初めに発生した。サイバー犯罪者は、パッチが公開される数日前に今度は、「TROJ_PIDIEF.WIA」として検出される不正PDFファイルをユーザーのコンピュータに感染させ、再びぜい弱性を突いた攻撃を仕掛けたのだ。その結果、ユーザーは「BKDR_POISON.UC」にも感染することになった。このバックドア型不正プログラムは、感染コンピュータ内でIEを開き、TCPポート8080番を使用しリモートサイトに接続する。これにより、サイバー犯罪者は、遠隔から感染コンピュータ上で不正なコードを実行することができるようになる。

 2010年1月12日、アドビは、ようやく予定していたセキュリティアップデートを公開した。このアップデートにより、解放済みメモリを使用する際に発生するぜい弱性が解消された。このぜい弱性は、「Multimedia.api」に存在し、不正コードを実行するために悪用されたものだった。しかし、サイバー犯罪者は、まだすべてのコンピュータに修正パッチが適用されていないことを見込み、更に2つの攻撃を仕掛けた。これらの攻撃により、次のような感染の連鎖が引き起こされる。攻撃の1つは「TROJ_PIDIEFX.F」として検出される不正PDFファイル、もう1つは、「TROJ_PIDIEF.SHK」として検出される不正PDFファイルから始まる。どちらの攻撃においても、感染コンピュータに不正プログラムが作成、あるいは、ダウンロードされた結果、ユーザーは、一連の複雑な感染連鎖に巻き込まれることとなる。

図1●アドビのぜい弱性を悪用した典型的な攻撃の感染フロー
図1●アドビのぜい弱性を悪用した典型的な攻撃の感染フロー