Windowsとブラウザの脆弱性を悪用 「サイト訪問で即感染」の手口とは：ロシア系ハッカーが狙う欠陥

数多くの組織が利用する「Firefox」や「Windows」の脆弱性を連鎖させてシステムに入り込む攻撃について、ESETは警鐘を鳴らしている。その手口とはどのようなものなのか。

[Alexander Culafi，TechTarget]

　ロシア政府とつながりがあるとみられるサイバー犯罪集団「RomCom」（別名「Storm-0978」）が、Webブラウザ「Mozilla Firefox」やOS「Windows」といった主要ITツールの脆弱（ぜいじゃく）性を悪用した攻撃を実施している。セキュリティベンダーESETはユーザー組織に注意を呼び掛けている。どのような手口に注意が必要なのか。

Windowsとブラウザの脆弱性を悪用する手口とは？

併せて読みたいお薦め記事

注意すべき「Windows」の脆弱性とは

• Windows 10の欠陥が”復活”　「ロールバック」された脆弱性に警戒
• Windowsを勝手に操作される「RCE」につながる脆弱性とは？　危険性と対策

　ESETによると、RomComが悪用している脆弱性は以下の2つだ。

• CVE-2024-9680
  • Mozilla Firefoxの他、「Mozilla Thunderbird」やオープンソースのWebブラウザ「Tor Browser」で不正コードの実行が可能になる。共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）で「緊急」（スコア9.8）と評価されている。
• CVE-2024-49039
  • Windowsのタスク自動化機能「タスクスケジューラ」の特権昇格の脆弱性。サンドボックスを回避し、マルウェア感染を可能にする。サンドボックスとは、本番環境に影響を及ぼさない仮想環境でプログラムを実行し、どのような挙動をするかを確認する仕組みだ。CVSSでの評価は「重要」（スコア8.8）。

　ESETによると、RomComは上記の脆弱性を組み合わせて攻撃を実施している。悪意のあるWebサイトを用意し、標的組織を攻撃用サーバに誘導。バックドア（不正侵入の入り口）をインストールするという。「この手口はユーザーの操作を一切必要としない。ユーザーがRomComの不正なWebサイトを閲覧するだけで、任意のコード実行が可能になる」（同社）。主に狙われているのは、欧州や北米の組織だとESETは説明する。

　2つの脆弱性について、ESETはMozillaとMicrosoftに報告した。2024年11月時点でいずれの脆弱性に対してもパッチ（修正プログラム）が提供されている。ESETとは別に、Googleのセキュリティ研究部隊Threat Analysis Group（TAG）もCVE-2024-9680とCVE-2024-49039の存在を発見したという。

　ESETによれば、まだパッチが提供されていない段階でRomComが脆弱性を悪用したのは、今回で少なくとも2度目だ。2023年、Microsoftの検索ツール「Windows Search」の脆弱性「CVE-2023-36884」がRomComによってフィッシングやランサムウェア（身代金要求型マルウェア）攻撃に悪用されたとみられる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。