IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ) | ScanNetSecurity
2026.07.14(火)

IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ)

ファイア・アイは、IEのゼロデイ脆弱性を悪用する新たなエクスプロイトが、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。

脆弱性と脅威 脅威動向
ファイア・アイによる発表
ファイア・アイによる発表 全 1 枚 拡大写真
ファイア・アイ株式会社は11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用する新たなエクスプロイト(オペレーションEphemeral Hydra)が、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。これは、米FireEye社が11月10日に投稿したブログ記事を翻訳したもの。攻撃者は、国家や多国間の安全保障政策に関心のある人物がアクセスするWebサイトを意図的に選び、ゼロデイ・エクスプロイトを埋め込んでいた。FireEyeは、この攻撃と「オペレーション DeputyDog」と呼ぶ攻撃で使用されているインフラとの間に、関連性を確認したという。またこの攻撃には、多くの標的型攻撃とは異なり、攻撃に使用するペイロードをディスクに書き込むことなく直接メモリに読み込むという特徴がある。このため、攻撃を受けたシステムを従来のフォレンジック手法で調査することは非常に困難となっている。

この攻撃で使用されている「Trojan.APT.9002」の亜種は、IPアドレスが111.68.9.93の指令サーバに443番ポートで接続し、非HTTPプロトコルとHTTP POSTを使用して通信する。この亜種が使用するコールバック・ビーコンは、以前の亜種からは変更されている。またビーコンは、動的に変化する4バイトのXORキーを使用してデータを暗号化している。このキーはオフセット0の位置に置かれており、ビーコンを送信するたびに変化する。FireEyeラボでは、9002の4バイトのXOR版がしばらく前から複数の攻撃者によって使用されている事例を確認しているが、ディスクに書き込みをしないペイロードで使用されていることが確認されたのは今回が初めてとしている。なお、Trojan.APT.9002のペイロードには「rat_UnInstall」という文字列が含まれていることから、Operation Auroraとの関連性も指摘している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

ランキングをもっと見る
PageTop