ブラウザメーカーは、攻撃者がMac、PC、モバイル、さらにはゲームコンソールのインターネットユーザーにアクセスできるようにするクロスプラットフォームの欠陥を悪用する新しいタイプのマルウェアをブロックするためのアップデートを数週間以内にリリースする予定です。
「PC、Android、Mac、この脆弱性はどれも同じように影響します」と、英国に拠点を置くセキュリティ調査会社MRG Effitasの創業者スヴェタ・ミラディノフ氏は、木曜日にサンフランシスコで開催されたカスペルスキー研究所の会議で述べた。「この脆弱性は実際に悪用されていますが、現時点ではそれほど大きな割合ではありません。パッチが完成するまではこれ以上のことは言えませんが、これはまさにクロスプラットフォームのブラウザ脆弱性です。」
ミラディノフ氏のチームは、このサンプルが特定のブラウザタイプで動作することを確認し、実際にサンプルを入手しました。リバースエンジニアリングにより、チームはこのコードを使ってほとんどの主要ブラウザのセキュリティを回避できることを示しました。その後、ミラディノフ氏のチームは、この脆弱性を公表する前に、メーカー各社と連絡を取り、脆弱性の修正を行いました。
これはブラウザメーカーが忌み嫌う類のエクスプロイトであり、セキュリティ専門家も懸念するほどです。このマルウェアは、システム全体へのアクセスではなく、主にフィッシング攻撃に利用されることを意図しているようです。ゼロデイ脆弱性に対するパッチがリリースされ次第、詳細が明らかになるでしょうが、それでも保護対策としては不十分かもしれません。
「多くのユーザー、特にMacユーザーにとっては、実際にシステムを更新する人があまりにも少ないため、古い攻撃であっても個人的にはゼロデイ攻撃である」と、セキュリティ研究機関AV-Comparitivesの共同設立者ピーター・ステルツハマー氏はThe Registerに語った。
「パッチが完全に適用されたMacをマルウェアに乗っ取られるのは非常に困難ですが、それで何の意味があるのでしょうか? 主な問題はフィッシングであり、それはブラウザベースです」とステルツハマー氏は述べた。「PC、Mac、ゲーム機など、どんなデバイスであっても、ブラウザ攻撃に対して脆弱です。」
Safari は最悪のブラウザではありませんが、それほどひどいというわけではありません (クリックして拡大)
彼は、自社の最近の調査結果を挙げ、Safariは最も脆弱なブラウザではないものの、最高のブラウザとも言えないことを示した。AV-Comparitivesのテストでは、フィッシング攻撃においてSafariはテスト対象マルウェアのわずか16%を阻止した。これはFirefoxよりわずかに優れているものの、ChromeやInternet Explorerよりははるかに劣る結果だった。
カスペルスキー研究所のグローバル調査分析チームのアナリスト、ティファニー・ラッド氏によると、OSを狙った非常に大規模なゼロデイ脆弱性の相場は、脆弱性市場で20万ドルにも達する可能性があるという。また、ブラウザのクラッキングも価値が高い。しかし、コスト削減を狙うマルウェア作成者は、より安価な方法でシステムをクラッキングしている。
「もしあなたが開発者なら、数百の、ほぼゼロデイではない脆弱性を攻撃コードに詰め込んで公開し、システムに何が残るかを見る方がずっと簡単で安価です」と彼女はEl Regに語った。「セキュリティソフトウェアのユーザーの多くが頻繁に更新しているので、たいてい何かがすり抜けてしまいます。」®
