記事本文(要約)
「RoundPress」と名付けられたサイバースパイ活動が世界中で行われており、これはロシアのAPT28という国家支援ハッカーに中程度の信頼性で結び付けられています。このキャンペーンは2023年に始まり、2024年にはRoundcube、Horde、MDaemon、Zimbraなどのウェブメールサーバーのゼロデイおよびnデイ脆弱性を利用して、政府や軍事組織、重要インフラの電子メールを盗むことを目的としています。攻撃はスピアフィッシングメールから始まり、メール本文のHTMLに埋め込まれたJavaScriptによってXSS脆弱性を狙います。
このキャンペーンでは、次のような具体的な脆弱性が利用されています:
- RoundcubeのCVE-2020-35730とCVE-2023-43770、メール本文やハイパーリンク処理の不適切なサニタイズを悪用。
- MDaemonのCVE-2024-11182、HTMLパーサーのXSS脆弱性。
- Hordeについては未確認の古いXSS脆弱性が試みられましたが、現行バージョンでは阻止。
- ZimbraのCVE-2024-27443、カレンダー招待におけるJavaScriptインジェクション。
これらの手法は2025年にも容易に応用される可能性があるとESETは警告しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 15 May 2025 15:14:39 -0400
Original URL: https://www.bleepingcomputer.com/news/security/government-webmail-hacked-via-xss-bugs-in-global-spy-campaign/
詳細な技術情報
「RoundPress」キャンペーンは、国家支援のサイバー攻撃者集団によって実施されており、特にロシアのAPT28(通称「Fancy Bear」または「Sednit」)が関与しているとされます。このキャンペーンでは、ウェブメールサーバーにおけるゼロデイおよび既知の脆弱性(n-day)を利用して、政府組織からの電子メールを窃取することを目的としています。
脆弱性の仕組み
この攻撃では、ウェブメール製品に存在するクロスサイトスクリプティング(XSS)脆弱性を悪用しています。具体的には、以下のCVE番号に関連する脆弱性が利用されています:
- Roundcube – CVE-2020-35730: 電子メールの本文に直接JavaScriptを埋め込むことで、メールを開いた際にスクリプトが実行され、被害者のクレデンシャルやデータが盗まれます。
- Roundcube – CVE-2023-43770: ハイパーリンクテキストの不適切なサニタイズによるスクリプトタグの注入が可能で、メッセージ表示時に実行されます。
- MDaemon – CVE-2024-11182: タイトル属性とnoembedタグを使用したゼロデイ脆弱性で、隠れたペイロードをレンダリングし、JavaScriptを実行します。
- Horde – 未確認XSS: APT28は古いXSS脆弱性を試みましたが、失敗しています。
- Zimbra – CVE-2024-27443: カレンダー招待の処理中にJavaScriptがInjectedされる脆弱性です。
攻撃手法
攻撃は、被害者にスピアフィッシングメールを送り込み、そのメールに埋め込まれた悪意のあるJavaScriptペイロードが引き金となる形で行われます。被害者は単にメールを閲覧するだけで、攻撃が開始されます。ペイロードには永続性がないため、メールを開いたときのみに実行されます。
潜在的な影響
- 被害者のメールアカウントのクレデンシャル流出
- メールコンテンツや連絡先情報の窃取
- 2要素認証(2FA)のバイパス
- 広範な機密情報の流出
推奨される対策
- ウェブメールサーバーのアップデート: 使用しているウェブメールサービスおよびそのソフトウェアを、最新のセキュリティパッチにアップデートしてください。
- スピアフィッシング対策: リンクを開く前にメールの送信元を検証し、ユーザーに疑わしいメールを開かないよう教育すること。
- セキュリティ監視の強化: 不審なネットワークトラフィックや異常なログイン試行を監視し、早期に検出できるようにします。
- 入力サニタイズの実施: ウェブアプリケーションにおいて、すべてのユーザー入力を適切にサニタイズすることで、XSSの影響を最小化します。
- 多層防御の採用: ウェブアプリケーションファイアウォール(WAF)の導入や、2FAを用いた多要素認証の強化等で、防御層を増やします。
