近年「Nデイ攻撃」と呼ばれるサイバー攻撃が注目を集めるようになっています。セキュリティベンダーであるトレンドマイクロが2020年12月に公開した「2021年セキュリティ脅威予測」でも、主なトピックの1つとして「Nデイ脆弱性の悪用が横行」すると指摘しています。ではこの「Nデイ攻撃」とはどのようなものなのでしょうか。以前から注目されていた「ゼロデイ攻撃」とは、何が違うのでしょうか。
ここで簡単に「ゼロデイ攻撃」についておさらいしておきましょう。この攻撃手法は、まだ修正プログラムが提供される前の脆弱性を悪用し、マルウェア感染などを引き起こす手法です。
大規模なケースとしては、2014年9月の「シェルショック」がよく知られています。これはLinuxなどのシェルプログラムとして利用されているBashの脆弱性が公表されてから修正プログラムの提供までにタイムラグがあり、その間に複数のゼロデイ攻撃が観測されたというものです。
これに関しては当時、警察庁からも「Bashの脆弱性を標的としたアクセスの観測について」※1※2という緊急レポートが公開されています。また2015年1月に発生した「Adobe Flash Player」へのゼロデイ攻撃も、まだ記憶に新しいところです。なおIPAではすでに2010年頃に、ゼロデイ攻撃の脅威について警告を発しています。
これに対して「Nデイ攻撃」とは、すでに修正プログラムが公開されている脆弱性に対して行われる攻撃です。これだけ聞くと「ゼロデイの方が攻撃手法として効果的」だと考えてしまいがちですが、実は必ずしもそうとは言えません。実際にNデイ攻撃の数も増えていると指摘されています。
その背景としては、2つの状況に注目すべきでしょう。1つは攻撃者のスタンスの変化です。以前の攻撃者のスタンスは、金を目的にしたものももちろんあったものの、自分の技術力を誇示する愉快犯的なものが少なくありませんでした。まだ情報が公開されていない脆弱性を狙うゼロデイ攻撃は、そのための絶好の手段だったのです。
しかし最近ではランサムウェアのように、身代金要求など実利的な目的のために行われる攻撃が増えており、犯行者の組織化も進んでいます。そのため攻撃準備に高い技術力が求められるゼロデイ攻撃よりも、すでに公開されていて悪用しやすい脆弱性を狙うNデイ攻撃の方が、好まれる傾向にあるといえるのです。
※1 https://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
※2 https://www.npa.go.jp/cyberpolice/detect/pdf/20141007.pdf
もう1つ注目すべき背景は、世の中のクラウドシフトの流れに伴い、各種ソフトウェアのリリースサイクルが短くなっていることです。クラウドサービスの多くは週次〜月次のペースで、バグフィックスと機能追加が行われています。これと同じことがソフトウェア全般へと広がっているのです。
しかし運用管理者にとって、最新のソフトウェアアップデートをリアルタイムに適用し続けることは、決して簡単ではありません。脆弱性対策に関する情報はIPAが「JVN iPedia」※3としてデータベースにまとめて公開していますが、その情報を日々追いかけるのも大変な作業です。大企業でもセキュリティ人材の確保が難しくなっている昨今、「ひとり情シス」などといわれる中小企業にとっては、もはや絶望的だといえるのではないでしょうか。
その結果、修正プログラムが公開された脆弱性が、しばらくの間放置されてしまうという状況が生まれます。しかもこのような脆弱性は攻撃者にとって悪用が容易であり、その数も豊富です。そのため「数撃ちゃ当たる」といったスタンスでも、被害を拡大させやすいのです。
この問題を解決するには、セキュリティを守る側が「脆弱性は常に存在する」というスタンスで、効果的な対策を施さなければなりません。その1つとして挙げておきたいのが「VMware Carbon Black」のような次世代アンチウイルスを活用したエンドポイントの防御です。
VMware Carbon Blackの最大の特長は、従来型アンチウイルスとは異なり、マルウェアファイルを特定するためのシグネチャに依存していない点にあります。エンドポイント上で発生する様々なイベントの流れである「イベントストリーム」をリアルタイムで解析し、脅威につながると判断された場合にその動きを遮断・警告するからです。そのため既知のマルウェアはもちろんのこと、未知のマルウェアやマルウェアを使わないファイルレス攻撃にも対応できます。
脅威の検出は、クラウドに日々蓄積されているログデータとセキュリティイベントの情報を元に実施されます。そのため常に最新情報を反映した状態での検出が可能です。さらにEDRの機能も装備しているため、マルウェアの感染・攻撃の流れも可視化でき、感染経路や影響範囲を特定することも容易になります。
攻撃者にとってメリットの多いNデイ攻撃は、今後間違いなく増えていくはずです。そして攻撃のチャンスや成果を高めるため、より多くの企業や組織がターゲットになっていくでしょう。その被害を未然に防ぐには、早い段階で先手を打っておく必要があるのです。
※3 https://jvndb.jvn.jp/index.html
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら