IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ) | ScanNetSecurity
2026.07.03(金)

IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ)

ファイア・アイは、IEのゼロデイ脆弱性を悪用する新たなエクスプロイトが、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。

脆弱性と脅威 脅威動向
ファイア・アイによる発表
ファイア・アイによる発表 全 1 枚 拡大写真
ファイア・アイ株式会社は11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用する新たなエクスプロイト(オペレーションEphemeral Hydra)が、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。これは、米FireEye社が11月10日に投稿したブログ記事を翻訳したもの。攻撃者は、国家や多国間の安全保障政策に関心のある人物がアクセスするWebサイトを意図的に選び、ゼロデイ・エクスプロイトを埋め込んでいた。FireEyeは、この攻撃と「オペレーション DeputyDog」と呼ぶ攻撃で使用されているインフラとの間に、関連性を確認したという。またこの攻撃には、多くの標的型攻撃とは異なり、攻撃に使用するペイロードをディスクに書き込むことなく直接メモリに読み込むという特徴がある。このため、攻撃を受けたシステムを従来のフォレンジック手法で調査することは非常に困難となっている。

この攻撃で使用されている「Trojan.APT.9002」の亜種は、IPアドレスが111.68.9.93の指令サーバに443番ポートで接続し、非HTTPプロトコルとHTTP POSTを使用して通信する。この亜種が使用するコールバック・ビーコンは、以前の亜種からは変更されている。またビーコンは、動的に変化する4バイトのXORキーを使用してデータを暗号化している。このキーはオフセット0の位置に置かれており、ビーコンを送信するたびに変化する。FireEyeラボでは、9002の4バイトのXOR版がしばらく前から複数の攻撃者によって使用されている事例を確認しているが、ディスクに書き込みをしないペイロードで使用されていることが確認されたのは今回が初めてとしている。なお、Trojan.APT.9002のペイロードには「rat_UnInstall」という文字列が含まれていることから、Operation Auroraとの関連性も指摘している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

ランキングをもっと見る
PageTop