アメリカのサイバーセキュリティー企業は、マイクロソフトの基本ソフト「ウィンドウズ」の未修正の脆弱性を悪用し、ハッカーが少なくとも1つの組織のシステムに侵入したと発表しました。この脆弱性は、マイクロソフトに不満を持つ研究者がインターネット上に公開したものだということです。
サイバーセキュリティー企業の「ハントレス」は、ハッカーが「ブルーハンマー(BlueHammer)」、「アンディフェンド(UnDefend)」、「レッドサン(RedSun)」と呼ばれる3つのウィンドウズの脆弱性を悪用しているのを確認したと、SNS上で明らかにしました。
現在のところ、攻撃の対象となった組織やハッカーの正体はわかっていません。
これら3つの脆弱性のうち、マイクロソフトがこれまでに修正プログラムを提供しているのは「ブルーハンマー」のみで、今週初めに対応が行われました。ハッカーは、セキュリティー研究者がインターネット上に公開した攻撃用のコードを利用して、これらの脆弱性を悪用しているとみられています。
今月に入り、「カオティック・エクリプス(Chaotic Eclipse)」と名乗る研究者が、ウィンドウズの未修正の脆弱性を悪用するためのコードを自身のブログで公開しました。この研究者は、コードを公開した動機として、サイバー攻撃の調査や脆弱性の報告に対応するマイクロソフトの専門チームとの間に何らかの対立があったことを示唆しています。
研究者はブログの中で、「私はマイクロソフトに対してはったりをかけていたわけではない。今回も実行する」と記しています。その後、数日の間に「アンディフェンド」と「レッドサン」に関する情報も立て続けに公開し、ソフトウェア開発のプラットフォーム上に3つすべての攻撃用コードを掲載しました。
これらの脆弱性は、いずれもマイクロソフトが提供するウイルス対策ソフト「ウィンドウズ・ディフェンダー」に影響を与えるもので、悪用されると、ハッカーが対象のコンピューターの管理者権限を取得できるおそれがあります。
この問題について、マイクロソフトの広報担当者は声明を出し、「当社は『協調的な脆弱性の公開』という業界で広く採用されている慣行を支持している。これにより、問題が一般に公開される前に慎重に調査・対処され、顧客の保護とセキュリティー研究のコミュニティーの双方を支援できる」としています。
サイバーセキュリティーの業界では、研究者が脆弱性を発見した場合、ソフトウェアの製造元に報告して修正に協力するのが一般的です。しかし、コミュニケーションがうまくいかない場合などに、研究者が脆弱性の詳細や、それを悪用できる「概念実証コード」を一般に公開してしまう「フルディスクロージャー(完全公開)」と呼ばれる事態が発生することがあります。
ハントレスの研究者であるジョン・ハモンド氏は、「攻撃用のツールが簡単に手に入る状態になっており、防御側とサイバー犯罪者の間で激しい競争が起きている。悪意のある攻撃者がこれらのコードを即座に悪用しようとするため、防御側は急いで対策を講じる必要がある」と指摘しています。