ゼロデイよりもハードルが低いNデイ攻撃
近年OSやアプリケーションの既知の脆弱性を狙った攻撃が注目を集めるようになっています。セキュリティベンダーであるトレンドマイクロが2020年12月に公開した「2021年セキュリティ脅威予測」でも、主なトピックの1つとして「Nデイ脆弱性の悪用が横行」すると指摘しています。ではこの「Nデイ攻撃」とはどのようなものなのでしょうか。以前から注目されていた「ゼロデイ攻撃」とは、何が違うのでしょうか。
ここで簡単に「ゼロデイ攻撃」についておさらいしておきましょう。この攻撃手法は、まだ修正プログラムが提供される前の脆弱性を悪用し、マルウェア感染などを引き起こす手法です。
大規模なケースとしては、2014年9月の「シェルショック」がよく知られています。これはLinuxなどのシェルプログラムとして利用されているBashの脆弱性が公表されてから修正プログラムの提供までにタイムラグがあり、その間に複数のゼロデイ攻撃が観測されたというものです。
これに関しては当時、警察庁からも「Bashの脆弱性を標的としたアクセスの観測について」※1※2という緊急レポートが公開されています。また2015年1月に発生した「Adobe Flash Player」へのゼロデイ攻撃も、まだ記憶に新しいところです。なおIPAではすでに2010年頃に、ゼロデイ攻撃の脅威について警告を発しています。
これに対して「Nデイ攻撃」とは、すでに修正プログラムが公開されている脆弱性に対して行われる攻撃です。これだけ聞くと「ゼロデイの方が攻撃手法として効果的」だと考えてしまいがちですが、実は必ずしもそうとはいえません。実際にNデイ攻撃の数も増えていると指摘されています。
その背景としては、2つの状況に注目すべきでしょう。1つは攻撃者のスタンスの変化です。以前の攻撃者のスタンスは、金を目的にしたものももちろんあったものの、自分の技術力を誇示する愉快犯的なものが少なくありませんでした。まだ情報が公開されていない脆弱性を狙うゼロデイ攻撃は、そのための絶好の手段だったのです。
しかし最近ではランサムウェアのように、身代金要求など実利的な目的のために行われる攻撃が増えており、犯行者の組織化も進んでいます。そのため攻撃準備に高い技術力が求められるゼロデイ攻撃よりも、すでに公開されていて悪用しやすい脆弱性を狙うNデイ攻撃の方が、好まれる傾向にあるといえるのです。
脚注
※1 https://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
※2 https://www.npa.go.jp/cyberpolice/detect/pdf/20141007.pdf
アップデートのサイクル短縮も被害拡大の要因
もう1つ注目すべき背景は、世の中のクラウドシフトの流れに伴い、各種ソフトウェアのリリースサイクルが短くなっていることです。クラウドサービスの多くは週次〜月次のペースで、バグフィックスと機能追加が行われています。これと同じことがソフトウェア全般へと広がっているのです。
しかし運用管理者にとって、最新のソフトウェアアップデートをリアルタイムに適用し続けることは、決して簡単ではありません。脆弱性対策に関する情報はIPAが「JVN iPedia」※3としてデータベースにまとめて公開していますが、その情報を日々追いかけるのも大変な作業です。大企業でもセキュリティ人材の確保が難しくなっている昨今、「ひとり情シス」などといわれる中小企業にとっては、もはや絶望的だといえるのではないでしょうか。
その結果、修正プログラムが公開された脆弱性が、しばらくの間放置されてしまうという状況が生まれます。しかもこのような脆弱性は攻撃者にとって悪用が容易であり、その数も豊富です。そのため「数撃ちゃ当たる」といったスタンスでも、被害を拡大させやすいのです。
もちろんセキュリティを守る側が「脆弱性は常に存在する」というスタンスのもと、セキュリティアップデートが公開されたら直ちに適用し、脆弱性を修正することが防御の基本ですが、アップデートにより基幹業務で使用するアプリケーションが正常に動作するかの確認に時間もかかり、アップデートのタイムラグが発生することになっていないでしょうか。この対策の1つとして挙げておきたいのが「Deep Instinct」のような次世代アンチウイルスを活用したエンドポイントの防御です。
Deep Instinctの最大の特長は、画像認識や車の自動運転で大きな成果をあげているAI(人工知能)の一つであるディープ・ラーニング(深層学習)をセキュリティ対策に活用することで高い精度で攻撃を防御できることです。これまでのアンチウイルスと異なり、マルウェアファイルを特定するためのシグネチャに依存せず、何億という攻撃手法を学習させた成果を収めた軽量な予測モデルD-Brainにより、ゼロデイ攻撃やNデイ脆弱性など既知・未知を問わず攻撃を高い精度で予測して防御することができます。また、次世代アンチウイルスは、仕組み上誤検知が多い傾向にありますが、Deep Instinctの予測モデルは、誤検知率が低いため、ただでさえ忙しいセキュリティ担当者の業務負荷軽減にも活用できます。
攻撃者にとってメリットの多い脆弱性を狙う攻撃は、今後間違いなく増えていくはずです。そして攻撃のチャンスや成果を高めるため、より多くの企業や組織がターゲットになっていくでしょう。その被害を未然に防ぐには、早い段階で先手を打っておく必要があるのです。
