重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

未修正の脆弱性を狙う「ゼロデイ攻撃」
その被害の歴史と防御方法を俯瞰する

未修正の脆弱性を狙う「ゼロデイ攻撃」その被害の歴史と防御方法を俯瞰する

古くから存在するゼロデイ攻撃

OSなどのソフトウェアのパッチ（修正プログラム）がリリースされた場合には、それをいち早く適用して脆弱性を修正する。これはセキュリティ運用の「基本中の基本」ともいえる対応です。しかしこの対応では防げないサイバー攻撃も存在します。それが「ゼロデイ攻撃」です。

　これは、ソフトウェアベンダーが脆弱性修正のためのパッチ提供を開始した日よりも前に、攻撃コードが公開されているものを指します。パッチリリース日を「ワンデイ」とし、それ以前に攻撃可能になっていることから「ゼロデイ」と呼ばれています。脆弱性が発見されてからベンダーがパッチをリリースするまでには、当然ながらタイムラグが生じます。このタイムラグに乗じることで、より攻撃の成功率を高めているのがゼロデイ攻撃なのです。なおパッチが提供される前の脆弱性のことを「ゼロデイ脆弱性」と呼びます。

　ゼロデイ攻撃は古くから存在する攻撃手法であり、すでに2004年には著名なセキュリティベンダーがその脅威を指摘しています。また2005年には情報処理推進機構（IPA）が発表する「10大脅威」の中で、第10位にランクインしています。

　これまでにも様々なゼロデイ攻撃が発見されていますが、その中でも有名なのが、2014年に発生した「シェルショック」でしょう。2014年9月にLinux OS等のシェルソフトウェアである「Bash」の脆弱性が公表され、その影響度の大きさから高い注目を集めました。Bashはサーバーの運用管理や、Webアプリケーションで多用されるCGIでも利用されており、パッチが出るまでの対応が極めて難しい状況だったからです。実際にこの脆弱性を利用したボットネットが、パッチが提供される前に構築・利用されていたという報告があります。その影響度の大きさから警察庁もBashの脆弱性を狙ったゼロデイ攻撃を監視しており、その報告書が2014年9月25日に公開されています^※1。

　また2015年1月に発覚したAdobe Flash Playerへのゼロデイ脆弱性も、IT業界では大きな話題になりました。これは2015年1月13日にリリースされた、Flashのバージョン16.0.0.257に含まれる2件の脆弱性です。Adobe Flash Playerはそれ以前からセキュリティ面での不安を指摘されており、これを解消するためにこのバージョンがリリースされたのですが、脆弱性をすべて潰すには至らなかったのです。そのうち1件の脆弱性を修正するパッチが1月22日に緊急公開されましたが、残りの脆弱性は残されたままになり、さらにその後も新たな脆弱性が発見され、最終的に修正されたのは2月6日となりました。

　これが引き金となってFlashの評価は大きく低下しましたが、その後も2018年に発見された脆弱性に対するゼロデイ攻撃が見つかっています。このような一連の問題の結果、Flashは市場から撤退する結果となりました。すでにアドビのホームページで公表されているように^※2、2020年12月31日でAdobe Flash Playerのサポートは終了することになっています。

脚注
※1　http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
※2　https://www.adobe.com/jp/products/flashplayer/end-of-life.html

従来型アンチウイルスでは対応は困難

最近ではゼロデイ攻撃が話題に上ることは少なくなっていますが、この種の攻撃がなくなったわけではありません。直近のケースとしてはシマンテックが2020年11月17日に、中国が支援するグループがマイクロソフト製品の脆弱性を利用したゼロデイ攻撃を、複数の日本企業をターゲットに行っていたと報告しています。

　この脆弱性は2020年8月に情報が一般公開され、これを修正するパッチも2020年8月の月例パッチとして公開されています。マイクロソフトは新たな攻撃を誘発しないよう、この脆弱性に関する技術的な詳細や実際に悪用されたか否かについては明らかにしていませんが、シマンテックはこのゼロデイ攻撃が2019年10月から継続していたと指摘しています^※3。

　このようにゼロデイ攻撃の脅威は、現在でもかなり大きなものだといえます。ではその被害を回避するには、どうすればいいのでしょうか。

　まず意識しておくべきことは、シグネチャでマルウェアを識別する従来型のアンチウイルスソフトウェアでは、十分な効果は期待できないということです。ゼロデイ脆弱性を狙うマルウェアは、対応するシグネチャがリリースされていないことが多いからです。またマルウェアファイルを使用しない「非マルウェア攻撃」や「ファイルレス攻撃」も少なくありません。このような攻撃もシグネチャでの検出は困難です。

　このような攻撃に対応するには、まずシグネチャだけに依存しない次世代アンチウイルス製品の活用が必要です。マルウェアのファイルパターンではなく、その挙動を監視してマルウェアか否かを判別するのです。このような製品であれば、非マルウェア攻撃やファイルレス攻撃にも対応しやすくなります。さらにEDR（Endpoint Detection and Response）も活用することで、攻撃を受けたことを短時間で検知し、その脅威を迅速に除去することも容易になります。

　このような製品の代表格といえるのが「VMware Carbon Black」です。これはEDRを搭載した次世代アンチウイルス製品であり、エンドポイント上でのイベントをリアルタイム解析することで、セキュリティインシデントにつながる兆候をいち早く検出できます。未知のマルウェアやファイルレス攻撃にも対応できるため、ゼロデイ攻撃も防ぎやすくなるのです。

　もちろん冒頭に述べた「基本中の基本」を、地道に行うことも忘れてはなりません。ゼロデイ攻撃には対応できないとはいえ、脆弱性を潰しておくことは他の攻撃を回避するための有効な手段だからです。「これさえ行えばOK」ではなく、必要だと思われることを網羅的に実施する。これこそがセキュリティ確保の王道だといえるでしょう。

脚注
※3　https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard（旧CB Defense、以下Endpoint Standard）は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス＋EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア（ファイルレス）攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら