サイバー攻撃の中で、予測不可能な上、即座に対応できないのがゼロデイ攻撃です。ソフトウェアベンダーやセキュリティ企業が気づいていなかった脆弱性を、サイバー犯罪者が先に発見し、それを悪用する「ゼロデイ攻撃」について解説します。
ゼロデイ攻撃とは
OSやアプリケーションなどのソフトウェアに脆弱性が存在していた場合、各ベンダーはユーザーに対し、脆弱性の修正パッチを提供します。ゼロデイ攻撃の「ゼロデイ(zero-day)」とは、修正パッチが提供された日を1日目として、脆弱性は存在しているけれど修正プログラムがまだない状態を「ゼロデイ(0日目)」と表現したことが由来です。
よって、「ゼロデイ攻撃(zero-day attack)」とは、各ベンダーが気づいていない脆弱性、もしくはまだ修正プログラムが提供されていない脆弱性を悪用した攻撃を指しています。
ゼロデイ攻撃の仕組み
ゼロデイ攻撃の仕組みは次のとおりです。
サイバー犯罪者は、ソフトウェアに脆弱性を発見すると、攻撃方法の検討と、その脆弱性を利用した不正プログラムの開発を行います。攻撃方法が確立した時点で、ソフトウェアの開発メーカーやセキュリティ企業にその脆弱性が発見されていなければ、一斉に攻撃が実行されます。
未知の脆弱性を悪用するため、攻撃が行われた時点でその脆弱性を修正するパッチやセキュリティ対策製品でのシグネチャファイルの提供はありません。脆弱性が発見され、ベンダーによる修正パッチの提供や、セキュリティ対策製品でのシグネチャファイルが提供されるまで、この攻撃による被害の拡散は避けられません。対策にも限りがあるため、ゼロデイ攻撃はサイバー攻撃の中で、もっとも深刻な脅威の一つといわれているのです。
なお、ゼロデイ攻撃を大別すると次の2種類に分類することができます。
1つが「ばらまき型」の攻撃です。例えば、多数のユーザーが訪問するWebサイトを改ざんして、ゼロデイ脆弱性を悪用した不正プログラムを組み込み、訪問した不特定多数のユーザーへ感染させるという攻撃が該当します。
もう1つは「標的型攻撃」で、例えば、特定の企業やユーザーを狙って作成される標的型メールに、ゼロデイ脆弱性を悪用した不正プログラムを添付ファイルとして組み込み、標的のユーザーへ感染させるという攻撃です。
不正プログラムを添付ファイルにするほか、メール内にURLリンクを記載し、リンク先にファイルを組み込んでおいて、ユーザーに踏ませるという手口もあります。
ゼロデイ攻撃による被害事例
過去のゼロデイ攻撃にはどのようなものがあるのでしょうか。注目を浴びたゼロデイ攻撃の事例を紹介します。
シェルショック(2014年)
2014年9月、多くの技術者たちを震え上がらせたのがbashの脆弱性「Shellshock(シェルショック)」です。
bashはLinuxやMac OS XなどのOSで使われるコマンドシェルの1つです。bashに存在していたこの脆弱性を悪用した場合、bashを使用しているLinuxサーバーなどを、コマンドで遠隔操作できる状態でした。
2014年9月24日に、Shellshockに関連する修正プログラムが用意されていましたが、2014年9月25日までにこの脆弱性を悪用したボットネットが構成されていました。すなわち、セキュリティ専門家らよりも早くサイバー犯罪者がこの脆弱性を発見し、ゼロデイ攻撃に悪用していたということになります。
Adobe Flash Player(2015年)
2015年には、米アドビシステムズの「Adobe Flash Player」に、深刻なゼロデイ脆弱性が複数存在することが明らかになりました。ゼロデイ脆弱性が悪用された場合、リモートから任意のコードが実行され、システムを制御される恐れがある、というものです。
一方、アドビ社から脆弱性を修正済みのAdobe Flash Playerが公開されるまで、ユーザーができる対策はFlashを無効化したり、アンインストールしたりする程度しかありませんでした。
最終的にアドビ社は、Flashのゼロデイ脆弱性を悪用した攻撃を確認してから、約1ヶ月後に脆弱性の修正を完了しましたが、その後も「脱Flash」の動きは止まらず、Flashを使用したWebサイトが次々と消えていったのもこの頃です。
Firefoxのセキュリティホール(2019年)
2019年6月18日、Mozilla FoundationがWebブラウザ「Firefox」の修正パッチをリリース。これは、危険度が最高の「Critical」に位置付けられる脆弱性に対処した修正パッチでした。さらに、この修正パッチの公開よりも前に、脆弱性を悪用した攻撃を確認済みだったといいます。
攻撃されたのは米仮想通貨取引所のCoinbase。幸いにも、この脆弱性を悪用しようとするゼロデイ攻撃の兆候を検出し、未然に阻止していました。Coinbaseを狙ったこの攻撃計画は、Firefoxに関連する2つの脆弱性を組み合わせ、攻撃対象も絞った、考え抜かれたものでした。
このマルウェアに感染するとPCのコントロール自体が奪われる可能性がある点と、巨額が動く仮想通貨取引所のコンピューターが標的だった点から、注目を集めた事例です。
ゼロデイ攻撃の対策方法
ゼロデイ攻撃は予測不可能とはいえ、我々ユーザーができる対策はないのでしょうか?ゼロデイ攻撃に備える方法を紹介します。
プログラムのアップデート
使用中のOSやアプリケーション、サーバーやネットワーク関連機器などの修正パッチが公開されたら、速やかに適用することが重要です。
修正対応前の脆弱性を突くゼロデイ攻撃ですが、攻撃対象となりうるインフラやアプリなどの脆弱性を可能な限り迅速にふさいでいくことで、実被害を受けるリスクを最小限にすることが出来ます。また、同時に既知の脆弱性を悪用する攻撃への対策にもなります。
サンドボックスへファイルを隔離
不審なファイルを、安全に実行して検証するための仮想環境がサンドボックスです。サンドボックスの機能を搭載したセキュリティソフトを導入すると、不審な挙動を示すファイルを隔離することができます。
ゼロデイ脆弱性のように、ソフトウェアの修正パッチやセキュリティソフトのパターン更新ファイルが公開されていない状態でも、不審な挙動から不正プログラムを検出できる可能性があります。
EDRの導入
攻撃させない・感染させないというアプローチではなく、万が一、マルウェアに感染した場合に、即座に異常を検知して対処する、という逆のアプローチでセキュリティを強化するのが「EDR(Endpoint Detection and Response)」という技術です。
EDRは、「エンドポイント」すなわち、ネットワークとつながっているユーザーのPCやデバイスなど、ネットワークの「末端」で守ります。万が一エンドポイントがゼロデイ攻撃に遭遇しても、端末上の不審な挙動から攻撃を検出するのがEDRです。
ゼロデイ脆弱性を悪用して、ネットワーク上に露出してしまっているシステムを直接狙うネットワーク攻撃もあるため、EDRだけ導入すれば万全ということではありませんが、ほかの対策と組み合わせることで、より強固な対策になります。
まとめ
サイバーセキュリティの世界では、「各ベンダーとセキュリティ企業」vs.「サイバー犯罪者」という構図で、イタチごっこを続けているのが現状です。これまで誰も発見できなかった脆弱性をサイバー犯罪者が先に見つけてしまった場合、ゼロデイ攻撃につながります。
ゼロデイ攻撃は予測ができないため、特定の攻撃に対して事前に対策を練ることはできません。その中で、まず我々ユーザーがやるべきことは、OSや各種アプリケーションにもれなく修正パッチを適用し、最新の状態を保つ、というセキュアな環境を保つという基本事項を徹底することです。
そして、いざ脅威が社内に入ってきたときに、即座に対応できる仕組みづくりをしていることが重要です。
どれだけ対策をしていても、100%脅威を中に入れないということは不可能です。脅威が社内に入ってきたときに直ぐに気づき対応するために、情報が詰まっているエンドポイント端末で監視・防御を行う、次世代エンドポイントセキュリティ/EDRの導入がオススメです。
NVCは、EDRの概念を世界で初めて開発した(※)VMware Carbon Blackの次世代エンドポイントセキュリティ/EDR製品を提供しています。特に、エンドポイント上のアクティビティを分析する、ストリーミングアナリティクスを使った防御機能を併せ持ったVMware Carbon Black Cloud Endpoint Standard製品は、強力なNGAV機能により脅威判定されるアクティビティの多くをブロックすることが出来ます。そのためEDR運用を考える際に課題になりがちな運用負荷の面でも、一般的なEDR製品と比較しチームのハードル低く取り組んでいただけます。
ぜひ、ご検討ください。
※EDRのコンセプトは、VMware社に買収される以前のCarbon Black社でCTOを務めていたMichael Viscuso氏が作ったと言われています。Carbon Black社は2019年10月VMware社に買収されています。
https://www.carbonblack.com/press-releases/vmware-completes-acquisition-of-carbon-black/