公開された Windows Defender のエクスプロイトが実際の攻撃に使われている
サイバーセキュリティ企業 Huntress によると、今月初めに研究者がオンラインで公開した一連の Windows のセキュリティ欠陥は、すでに少なくとも1件の実際の侵入に使われている。この事態は、これまで公開された脆弱性情報だったものを、Microsoft Defender に依存し、利用可能な修正や代替対策をまだ適用していない組織にとっての現実的な運用リスクへと変えている。
Huntress は、攻撃者が BlueHammer、UnDefend、RedSun として知られる3つの脆弱性を悪用していると述べている。このうち、Microsoft がまだ修正したのは BlueHammer だけで、同社は今週初めに修正を展開した。提供されたソース文によれば、残る問題については、標準設定または未変更の Defender 保護に依存している組織がどの程度さらされているのか、依然として不確実性が残っている。
この事件は、コンピュータセキュリティにおける古くからの緊張関係も示している。公開による開示はベンダーにより迅速な対応を促す一方で、パッチが広く展開される前に詳細なエクスプロイトコードが公開されると、悪意ある行為者の参入障壁を直ちに下げてしまう。この件では、TechCrunch が、Chaotic Eclipse という名前で活動する研究者が公開したコードが悪用活動に使われているようだと報じた。
脆弱性が公開領域に出た経緯
ソース文によると、Chaotic Eclipse はまず、未修正の Windows の脆弱性を悪用すると主張するコードを公開し、その際に Microsoft の対応への不満を示していた。数日後、その研究者は UnDefend と RedSun 向けの追加のエクスプロイト素材を公開し、GitHub にホストされたコードも含めた。これら3つの脆弱性はいずれも Microsoft Defender に影響し、攻撃者が標的の Windows システム上で管理者レベルの高権限を取得できる可能性がある。
この順序が重要なのは、エクスプロイトの公開が脅威環境を急速に変えるからだ。動作するコードが公開されると、攻撃者はもはや自力でバグを見つけたり、ツールをゼロから作成したりする必要がない。公開された素材を改変し、自動化し、露出したシステムに高速で試すことができる。
ソース文は被害組織を特定しておらず、責任のある脅威アクターの名前も挙げていない。しかし、帰属がないからといって、この事案の重要性が下がるわけではない。実務上、防御側は、機会的または標的型の攻撃者がこれらの開示を踏まえて行動している確証を得たことになる。
