概要:Chromeゼロデイ脆弱性の悪用
2025年3月、Kasperskyのセキュリティ研究者たちは、これまで未知だったChromeの脆弱性を悪用し、高度なスパイウェアを著名な標的に送り込む巧妙なキャンペーンを検出しました。この攻撃は「Operation ForumTroll」と名付けられ、ロシアのメディア、大学、研究センター、政府機関、金融機関を含む組織を標的に、パーソナライズされたフィッシングリンクが悪用されました。
悪意のあるリンクを一度クリックするだけで、Google Chromeまたは任意のChromiumベースのウェブブラウザを介して感染が引き起こされる仕組みでした。攻撃者は、検出システムを回避するために、極めて短命なパーソナライズされたリンクを作成するという、驚くべき運用セキュリティを示しました。しかし、Kasperskyの脅威インテリジェンスチームは、感染チェーンに組み込まれた複雑なゼロデイサンドボックスエスケープエクスプロイトを特定しました。
この脆弱性は「CVE-2025-2783」として追跡され、その後Googleに報告され、Chrome 134.0.6998.177/.178でパッチが適用されました。この発見は、現代のブラウザアーキテクチャにおけるこれまで未知の攻撃対象領域を浮き彫りにし、脅威アクターが重要インフラや政府機関に対して積極的に武器化していたことを示しています。
攻撃インフラストラクチャの詳細
Operation ForumTrollは、権威あるプリマコフ・リーディングス・フォーラムへの招待状を装った説得力のあるスピアフィッシングメールから始まる多段階の感染チェーンを利用しました。これらの誘いには、標的を検証してからエクスプロイトを実行する悪意のあるウェブサイトに被害者を誘導するパーソナライズされたリンクが含まれていました。
攻撃者は、高度な難読化技術を採用し、正規のインフラプロバイダーを利用してコマンド&コントロールサーバーをホストすることで、その巧妙さを示しました。感染プロセスは、悪意のあるリンクをクリックする以外のユーザー操作を必要としませんでした。被害者が侵害されたウェブサイトを訪問すると、攻撃チェーンが自動的に開始され、Chromeのサンドボックス保護を静かに回避し、感染したシステムへの永続的なアクセスを確立しました。
Kasperskyの研究者たちは、調査開始時には攻撃者が展開サーバーをクリーンアップしていたため、侵害されたインフラからエクスプロイトコードを完全に復元することはできませんでした。しかし、初期の感染波からのテレメトリーは、攻撃手法を再構築するのに十分なアーティファクトを提供しました。
サンドボックスエスケープの解明
CVE-2025-2783は、近年発見されたサンドボックスエスケープ脆弱性の中で最も興味深いものの一つです。このエクスプロイトは、Chromeのセキュリティアーキテクチャが対処できていなかった、Windowsオペレーティングシステムの不明瞭な癖を悪用しました。この脆弱性は、擬似ハンドル(GetCurrentThreadやGetCurrentProcessのようなWindows API関数によって返される特殊な定数で、標準のプロセスハンドルとはカーネルによって異なる解釈をされる)の誤処理に起因していました。
ChromeのIPCコードは以前、-1(INVALID_HANDLE_VALUE)の値を持つ擬似ハンドルをチェックしていましたが、開発者は現在のスレッドを表す-2定数を見落としていました。この見落としにより、攻撃者はChromeのメッセージリレーシステムを介して擬似ハンドルを中継することが可能になり、ブローカーは-2定数をブラウザプロセス自体に属する実際のスレッドハンドルに変換しました。これにより、レンダラープロセスはブラウザのメインスレッドへの正当なハンドルを受け取り、すべてのサンドボックス制限を回避しました。
このエクスプロイトは、静的にコンパイルされたMojoおよびipczライブラリを利用してIPCブローカーと通信することで、手動でのメッセージ作成の必要性を排除し、卓越した技術的洗練度を示しました。攻撃者は、ハイジャックされたスレッドを一時停止し、レジスタ値を変更し、実行を再開することで、特権のあるブラウザプロセス内で任意のシェルコードを実行することができました。
攻撃の帰属と推奨事項
Kasperskyの調査により、ForumTrollキャンペーンは2022年にまで遡り、かつてHacking Teamとして知られていたイタリアの企業「Memento Labs」によって開発されたツールセットが発見されました。研究者たちは、Hacking Teamのリブランド後、何年もの間検出されずにいた「Dante」と呼ばれる未知の商用スパイウェアを特定しました。コードパターンの類似性は、Operation ForumTrollがカスタムエクスプロイト機能とともに完全なDanteツールセットを採用したことを強く示唆しています。
この発見は、商用スパイウェアベンダーが政府および組織のセキュリティにもたらす永続的な脅威を強調しています。Firefoxの開発者もその後、IPCコードに同様の脆弱性パターンを特定し、同様の問題に対処するためにパッチ「CVE-2025-2857」をリリースしました。
組織は、すべてのChromiumベースのブラウザを直ちに更新し、2025年3月以前に発生した疑わしい活動がないかネットワークログを確認する必要があります。