北朝鮮の国家支援ハッカーグループであるLazarus Groupが、Windows AppLockerのゼロデイ脆弱性を利用し、新しく改良されたルートキットを使用したサイバー攻撃を行った。この脆弱性はCVE-2024-21338として追跡され、管理者からカーネルへの境界を越えることを可能にした。Microsoftは2月13日にこのゼロデイ脆弱性を修正したが、それはLazarus Groupが攻撃を実行する前であった。Avastの研究者たちは、Lazarus Groupが以前のBYOVD(Bring Your Own Vulnerable Driver)戦術を捨て、より直接的なゼロデイ脆弱性を利用するアプローチを採用したことを明らかにした。また、Lazarus Groupによる新しいリモートアクセストロイの木馬(RAT)も発見された。Avastは、Lazarus Groupが技術的な洗練さで時折驚かせることがあると報告している。
【ニュース解説】
北朝鮮の国家支援を受けるハッカーグループ、Lazarus Groupが、MicrosoftのWindows AppLockerに存在したゼロデイ脆弱性を利用して、新たに改良されたルートキットを駆使したサイバー攻撃を行ったことが報告されました。この脆弱性はCVE-2024-21338として識別され、攻撃者が管理者権限からカーネルレベルへのアクセスを不正に取得することを可能にしました。Microsoftはこの脆弱性を2月13日に修正しましたが、Lazarus Groupによる攻撃はそれ以前に行われていました。
この攻撃では、Lazarus Groupが以前に用いていたBYOVD(Bring Your Own Vulnerable Driver)という戦術を捨て、より直接的なゼロデイ脆弱性を利用する手法に切り替えたことが明らかにされました。また、セキュリティ企業Avastによって、Lazarus Groupによる新しいリモートアクセストロイの木馬(RAT)も発見されています。
このニュースは、国家支援を受けるハッカーグループが高度な技術を駆使してサイバー攻撃を行っている現状を浮き彫りにしています。特に、ゼロデイ脆弱性を利用した攻撃は、対策が困難であり、セキュリティ対策が常に最新の状態に保たれていなければ、重大な被害につながる可能性があります。
この攻撃のポジティブな側面を見出すことは難しいですが、セキュリティコミュニティにとっては、攻撃手法の進化に対する理解を深め、今後の防御策の強化に役立てることができるという点で価値があります。一方で、潜在的なリスクとしては、このような攻撃が個人や企業に対しても行われる可能性があり、情報漏洩やシステムの損害など、深刻な影響を及ぼすことが考えられます。
規制に与える影響としては、このような攻撃を受けた際の報告義務の強化や、セキュリティ対策の基準を高めることが求められるかもしれません。将来への影響としては、サイバーセキュリティの重要性が一層高まり、防御技術の進化やセキュリティ教育の普及が加速することが期待されます。
長期的な視点では、国家支援を受けるハッカーグループとの間でのサイバー攻撃と防御の「競争」は続くことになります。このため、セキュリティ対策の継続的な更新と、最新の脅威に対する迅速な対応が、今後もますます重要になってくるでしょう。
from Microsoft Zero Day Used by Lazarus in Rootkit Attack.
