Windowsのアンチウイルス機能「Windows Defender」に存在する3つの深刻な脆弱性が、実際の組織への侵害に悪用されたことが確認された。注目すべきはその速度だ——PoCコード(実証コード)が公開されてからわずか5日で野生での攻撃が観測されている。パッチが存在しない脆弱性が2件残っている現時点でも、攻撃は進行中の可能性がある。
今回確認された3つの脆弱性
セキュリティ研究者「Chaotic Eclipse」が今月、自身のブログおよびGitHubに3つのWindows Defender脆弱性のPoC(実証コード)を順次公開した。
- BlueHammer:Microsoftが今週パッチをリリース済み。ただし悪用は既に確認されている
- UnDefend:未パッチ。PoC公開済み
- RedSun:未パッチ。PoC公開済み
3件いずれも、Windows Defenderを経由して攻撃者が管理者権限を取得できる欠陥とされている。サイバーセキュリティ企業Huntressは、少なくとも1つの組織への実際の侵害を確認し、「BeigeBurrow」と呼ばれるトンネリングエージェントが展開されたことを報告している。
Full Disclosure——なぜ研究者はコードを公開したのか
Chaotic Eclipseは公開の動機として、MicrosoftのセキュリティレスポンスチームであるMSRC(Microsoft Security Response Center)との対立を示唆するコメントを残している。「Microsoftをはったりで脅したわけではない、また実行する」という趣旨の投稿も見られた。
本来、脆弱性が発見された際には「協調的開示(Coordinated Disclosure)」が業界標準だ。研究者がベンダーに報告し、修正完了後に公開する——このプロセスが機能していれば、ユーザーが脆弱なまま放置されるリスクは大幅に下げられる。しかし今回のようにそのプロセスが崩れると、PoCコードがGitHubに公開された瞬間に悪用のハードルが劇的に下がる。
攻撃者にとって、GitHubに上がっているPoCは「すぐ使える武器」だ。高い技術力がなくても、コードをそのまま実行するだけで侵害が可能になる。これが今回5日以内で実害につながった直接の理由だ。
日本企業が今すぐとるべき対応
1. BlueHammerのパッチを即適用
Microsoftがすでにパッチをリリースしている。Windows Updateの適用状況をエンドポイント管理ツール(Intune、WSUS等)で即座に確認すること。「しばらく様子を見てから」では遅い。
2. UnDefend・RedSunへの緩和策を検討
パッチが存在しない以上、ネットワーク分離、特権アカウントのJust-In-Time管理、エンドポイントの行動ベース検知といった緩和策が現実的な選択肢になる。Huntressなど各セキュリティベンダーのアドバイザリを参照してほしい。
3. BeigeBurrowの痕跡を監視
不審な外部通信やプロセス起動パターンをSIEM等で検知できているかを確認する。侵害が成功してもトンネリングエージェントの挙動を捕捉できれば被害を最小化できる。
4. パッチ適用プロセスの優先度設計を見直す
月次パッチサイクルという組織は多いが、今回のように5日で悪用が始まるケースには対応できない。「PoC公開済み」「悪用確認済み」といったリスク分類をトリガーに、緊急パッチの適用フローを事前に設計しておくことが必要だ。
筆者の見解
MSRCはWorldクラスの脆弱性対応能力を持つ組織だ。BlueHammerのように迅速にパッチをリリースできる力があることは今回も示された。だからこそ、残るUnDefendとRedSunの対応が急がれる。研究者との対立がどのような経緯であれ、現在進行形で攻撃が行われている以上、正面から勝負する場はここだ。
より根本的な問題として、今回の件は「パッチが出てから当てる」という受け身の防御モデルの限界を改めて示している。PoCが公開されれば48時間以内に武器化されるのが今の現実であり、パッチ適用サイクルが週次・月次の組織では構造的に間に合わない。
多層防御——特権アカウントのJIT管理、エンドポイントの行動検知、ネットワーク分離——をあらかじめ組み合わせておく設計が不可欠だ。Huntressの研究者が言うように「防御者とサイバー犯罪者の綱引き」が続く以上、日本企業に必要なのはその綱引きに参加するための平時の「筋力」を積み上げておくことに尽きる。
出典: この記事は Hackers are abusing unpatched Windows security flaws to hack into organizations の内容をもとに、筆者の見解を加えて独自に執筆したものです。