Hackers Leveraging Microsoft Edge Internet Explorer Mode to Gain Access to Users’ Devices
2025/10/13 CyberSecurityNews — Microsoft Edge の Internet Explorer モード機能を標的とする脅威アクターが、新たな攻撃ベクターを発見したことで、懸念すべき展開が生じている。2025年8月に出現した、この高度な攻撃キャンペーンは、従来のブラウザ技術に内在するセキュリティ上の弱点を悪用して、無防備なユーザーのデバイスを侵害している。この攻撃は、脅威アクターの戦術における大きな進化を示すものであり、無害に見える互換性機能を武器化する能力を示している。
この攻撃手法は、Internet Explorer の Chakra JavaScript エンジンを標的とするゼロデイ・エクスプロイトと、ソーシャル・エンジニアリングを組み合わせたものである。最初にサイバー犯罪者は、正規の Web サイトを装う悪意のサイトへと、被害者を誘導する。
これらの悪意のあるサイトにアクセスした被害者に対して、攻撃者が要求するのは Internet Explorer モードでのページの再読み込みである。具体的には、ポップアップ通知を表示し、Edge の安全な Chromium ベースの環境から、IE の脆弱なレガシー・フレームワークへと効果的に移行させる戦術である。
Internet Explorer には、最新のブラウザに見られるような堅牢なセキュリティ・アーキテクチャと多層防御の緩和策が欠けているため、この移行は極めて巧妙なものである。
最新の Chromium ベース・ブラウザが防御するリスクに、このレガシー環境はユーザーをさらすことになる。その結果として、脅威アクターにとって絶好の攻撃機会を作り出す。
活発なエクスプロイト・キャンペーンに関する信頼できる情報を入手した後に、Microsoft Edge のセキュリティ・アナリストたちは、この脅威を特定した。
研究チームが発見したのは、レガシーなビジネス・アプリケーション/古いセキュリティ・カメラ・インターフェイスなどを、攻撃者が狙っていることだ。この攻撃対象には、ActiveX や Flash といった時代遅れの技術に依存する、政府機関のポータルをサポートするために設計された、互換性のための機能も含まれる。
Chakra エンジンのエクスプロイトと権限昇格
この攻撃の高度な技術は、Chakra JavaScript エンジンを標的とする、多段階のエクスプロイト・プロセスにある。
被害者の Edge を Internet Explorer モード に切り替えさせた攻撃者は、IE の JavaScript 実行環境向けに特別に作成された、パッチ未適用のゼロデイ・エクスプロイトを展開する。
これまで、Microsoft は強化策を実施してきたが、この Chakra エンジンは、リモートコード実行を可能にするメモリ破損攻撃に対して依然として脆弱である。
ブラウザ内でのコード実行に成功した脅威アクターは、権限昇格を目的とする2つ目のエクスプロイトを展開する。
この2つ目のペイロードにより、攻撃者はブラウザのサンドボックス環境を突破し、システム権限の昇格とデバイスの完全な制御権を獲得できる。
この二重エクスプロイト・アプローチにより、攻撃者はシステムへの包括的な侵害に成功し、マルウェアのインストール/企業ネットワーク内でのラテラル・ムーブメント/機密データの窃取などを可能にする。
この問題に対して Microsoft は、IE モード へのアクセス制限や、ツールバー・ボタンやコンテキスト・メニューなどの高リスクなエントリ・ポイントの削除で対応している。しかし、その一方では、正当なビジネス・ニーズに対するエンタープライズ・ポリシーのサポートを維持している。
ユーザーを IE モードへ誘導する時点でソーシャル・エンジニアリングが絡み、IE 側の Chakra エンジンがメモリ破損に弱く最新の多層防御を備えていないことで、攻撃が可能になります。加えて ActiveX/Flash 等のレガシー依存や、モード切替時にセキュリティ境界が弱まる実装上の穴が、二段階のエクスプロイト連鎖を成立させやすくしていると、この記事は指摘しています。よろしければ、Internet Explorer で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.