ロシア発「RomCom」がFirefoxとWindowsのゼロデイ脆弱性を悪用した高度なサイバー攻撃を展開

ロシア拠点のサイバー犯罪グループ「RomCom」が、FirefoxおよびWindowsのゼロデイ脆弱性を組み合わせた攻撃を行い、ヨーロッパや北アメリカのブラウザ利用者を標的にしている。攻撃では、MozillaやMicrosoftの修正前のセキュリティ欠陥が悪用され、被害者の操作を必要とせずにマルウェアを実行可能な仕組みが採用された。

ESETの分析によれば、偽のウェブサイトを利用した高度なエクスプロイトが使われており、感染後のマルウェアは攻撃者によるさらなる操作や追加攻撃を可能にする。この手口は標的のステルス性と技術力の高さを物語っており、政府やエネルギー分野を含む広範な組織がリスクにさらされているとされる。

RomComの攻撃に利用されたゼロデイ脆弱性の仕組みとリスク

RomComによる攻撃で悪用された2つのゼロデイ脆弱性は、いずれも高度な技術と狡猾な手法を用いている。Firefoxの脆弱性（CVE-2024-9680）は、アニメーションタイムライン機能における「use-after-free」バグを悪用し、ブラウザのサンドボックス内でのコード実行を可能にした。一方、Windowsのタスクスケジューラーの権限昇格の欠陥（CVE-2024-49039）は、このサンドボックスの枠を越えたコード実行を可能にした。

これらの脆弱性を組み合わせた「ゼロデイチェーンエクスプロイト」は、攻撃者が被害者のデバイスにリモートで侵入する手口として非常に効率的であり、ユーザーの操作を必要としないことが特徴である。このような技術が一般に公開されることなく使用される背景には、ゼロデイ脆弱性の闇市場での高額取引がある可能性も指摘される。この攻撃を通じて、RomComが高度な技術と資金力を背景に活動していることが明確となった。

ゼロデイ攻撃は、パッチ適用前の短期間で膨大な被害をもたらす可能性がある。特に、企業や政府が運用するシステムが標的となる場合、その影響は単なる個人の被害にとどまらない。こうした脅威に対抗するため、迅速なパッチの配布と適用、そして未知の攻撃を想定したセキュリティ対策が求められる。

偽サイトを利用した攻撃の特徴とその背景にある戦略

RomComの攻撃の鍵を握るのが、被害者を誘導するために設計された偽サイトの存在である。このサイトは、公式のサイトに酷似した外見を持ち、被害者がリンクをクリックした瞬間にエクスプロイトをホスティングするサーバーへ接続される仕組みとなっている。ESETによれば、このリンクの配布経路は明らかではないが、フィッシングメールや改ざんされた広告が利用された可能性がある。

偽サイトの作成と運用は、多額のリソースを必要とする一方で、特定のターゲットに向けて高い成功率を発揮する。特に、RomComのようにスパイ活動を主目的とするグループにとって、この手法は情報収集や後続の攻撃のための足がかりとして非常に効果的である。また、ターゲットの特定は、事前に収集された情報や地政学的な状況を基に行われていると考えられる。

このような手口の背後には、被害者の警戒心を下げるための心理的な戦略も見え隠れする。特に、信頼性が高いとされるブラウザを利用する際、ユーザーはセキュリティリスクを過小評価する傾向にある。これを逆手に取る形で、攻撃者は被害者の盲点を突いているのが現状である。

RomComの活動範囲と今後の脅威への警鐘

RomComの攻撃活動は、政府や防衛、エネルギーなどの重要な産業分野に及んでいる。ESETの報告によると、このグループは過去にもリトアニアでのNATOサミットを標的とし、WindowsやOffice製品のゼロデイ脆弱性を活用していた。今回のケースでも、特定地域や業界を重点的に狙った可能性が高い。

特筆すべきは、RomComがこれまでの活動で高度なステルス性を維持し続けている点である。被害の規模が国ごとに1人から250人にのぼるというESETの分析は、グループが非常に精密かつ戦略的にターゲットを選んでいることを示唆している。また、ランサムウェア活動やスパイ活動に関連する過去の事例から、同グループが政治的意図を含む多目的な活動を展開していることが推測される。

このような脅威に対し、個人だけでなく企業や国家レベルでの対策が必要不可欠である。特に、RomComのような高度な攻撃者に対しては、標的型攻撃の兆候を早期に検知するためのAIベースのセキュリティシステムや、グローバルな情報共有の仕組みが求められる。これらの対策を怠れば、被害の範囲と深刻さは増大する可能性が高いといえる。