マイクロソフトは、政府の諜報活動キットで使用されているゼロデイエクスプロイトをシャットダウンします

マイクロソフトは、最近の一連のセキュリティパッチが、世界中の権威主義政府やスパイ機関にスパイキットの一部として販売されている2つのゼロデイエクスプロイトを阻止するように設計されていることを明らかにしました。

イスラエルの治安部隊カンディルが販売したとされるスパイキットは、少なくとも100人の犠牲者を抱える政治家、ジャーナリスト、人権労働者、学者、反対派などを標的にするために使用されてきました。 100は、他の主要なセキュリティ侵害や攻撃に比べて比較的低い数値ですが、スパイキットは、個人を標的にするために使用される非常に高度なツールです。

そのため、このキットとゼロデイエクスプロイトの被害者は、地震の可能性のあるトピックに関する貴重な情報を持っている著名人である可能性があります。

マイクロソフトはシチズンラボと協力してエクスプロイトを削除します

Microsoft Securityの公式ブログでは、2つのWindowsゼロデイエクスプロイト( CVE-2021-31979およびCVE-2021-33771 )を所有する「民間セクターの攻撃的アクター」の発見が確認されています。

マイクロソフトは、脅威アクターのSOURGUMをダビングし、マイクロソフトセキュリティチームは、世界中の政府機関にサイバーセキュリティツールを販売しているイスラエルの民間企業であると信じていると述べました。マイクロソフトは、トロント大学のネットワーク監視および人権研究所であるCitizen Labと協力して、SOURGUMが使用するマルウェアおよびエクスプロイトキットが「世界中の100人以上の犠牲者を標的にした」と考えています。

関連: マルウェアの理解:知っておくべき一般的なタイプ

シチズンラボのエクスプロイトに関するレポートでは、カンディルを「政府にスパイウェアを独占的に販売するイスラエルを拠点とする秘密の会社」と明示的に名付けています。 Candiruによって開発されたスパイウェアは、「iPhone、Android、Mac、PC、およびクラウドアカウントに感染して監視することができます」。

Microsoft Securityチームは、パレスチナ、イスラエル、イラン、レバノン、イエメン、スペイン、英国、トルコ、アルメニア、シンガポールで被害者を観察し、多くの被害者がデリケートな地域、役割、または組織で活動しています。報告されているCandiruクライアントには、ウズベキスタン、サウジアラビアとUAE、シンガポール、カタールが含まれ、その他の報告されている売上高は、ヨーロッパ、旧ソビエト連邦諸国、ペルシャ湾、アジア、ラテンアメリカです。

セキュリティパッチはゼロデイエクスプロイトを排除します

ゼロデイエクスプロイトは、攻撃者がサイトやサービスなどを侵害するために使用する、これまでにリリースされていないセキュリティの脆弱性です。セキュリティおよびテクノロジー企業はその存在に気付いていないため、パッチが適用されておらず、脆弱なままです。

この場合、スパイキットの開発の背後にあるとされるイスラエルの会社は、2つのゼロデイエクスプロイトを使用して、以前は安全だった製品にアクセスし、DevilsTongueと呼ばれる独自のマルウェアバリアントに組み込まれました。

この種の攻撃は心配ですが、多くの場合、通常のユーザーには影響を与えない、標的を絞った操作です。さらに、Microsoftは、DevilsTongueマルウェアによって使用されるゼロデイエクスプロイトにパッチを適用し、この特定の亜種を役に立たなくしました。パッチは2021年7月のパッチ火曜日に発行され、7月6日に公開されました。