ゼロデイ脆弱性とは?どういう仕組み?
ゼロデイ脆弱性とは?
ゼロデイ脆弱性とは、さまざまな方法で悪用される可能性があるソフトウェアの欠陥のことで、標的となるソフトウェアベンダーにとっては未知のものです。”ゼロデイ攻撃”という用語は、悪用される可能性がありながらも、標的となるソフトウェアベンダには未知の脆弱性であるため、標的となるベンダはそれを修正するための期間がない(ゼロデイ)ことを意味します。
ゼロデイ攻撃の脆弱性は、OSによるセキュリティ警告が発動される可能性が低く、ユーザーの知識不足などにも依存することが少ないため、究極の感染方法と考えられています。フィッシングメールのような他の攻撃手法では、メールをダウンロードしたり、リンクをクリックしたりと、ユーザーの操作が必要です。これに対して、ゼロデイ攻撃は、オペレーティング・システムやソフトウェアの欠陥を悪用してターゲット・マシンに感染させる可能性があります。
まだ公開されていないゼロデイ脆弱性は、発見者とそれを共有した人にのみ知られています。これらの脆弱性は、ほとんどの場合、エリートのサイバースパイグループが所有しており、通常は国家がスポンサーにいます。これらはセキュリティ上の大きなリスクではありますが、それを知っているひとにとってはできる限り他のひとに発見されないようにしたいと考えているため、すぐに広く知れ渡ることはありません。
ゼロデイ脆弱性が発見され公開された場合、それが内通者によるリーク・セキュリティ研究者の公表・または公開のいずれかの場合であったとして、その脆弱性はもはや公のものとなります。しかし、このように公開されたゼロデイ脆弱性は依然として脅威となる可能性があり、多くの場合、非公開の脆弱性よりもリスクが高いものとなります。脆弱性が公開されると、たとえそれがベンダーによって既にパッチが適用されていたとしても、標的となるベンダーのユーザが修正プログラムを適用する必要がある間に、攻撃者が脆弱性を悪用したエクスプロイトを作成しようとするため、時間との勝負になります。ここでの時間の差は、脆弱性がまだ利用可能な間に攻撃者が悪用する隙を与えてしまいます。このような状況は、ワンデイ攻撃または Nデイ攻撃として知られています。
時間との戦い
活発なゼロデイ脆弱性が悪用された事例として有名なのが、EternalBlueのケースです。米国国家安全保障局(NSA)のハッキングツールやエクスプロイトの流出で知られる脅威集団「Shadow Brokers」が、2017年4月にMicrosoft Server Message Blockプロトコル(CVE-2017-0144)の脆弱性を悪用したエクスプロイトを流出させていました。この脆弱性は、脆弱なマシンに細工されたパケットを送信することで悪用され、その結果、攻撃者はリモートから標的となるシステム上で任意のコードを実行することが可能になります。
これらの流出の結果、2017年5月から8月にかけて、 WannaCry、Petya、NotPetyaなどのマルウェアを含む大規模なランサムウェアキャンペーンが発生しました。流出したEternalBlue のエクスプロイトによって悪用された脆弱性は、流出の1ヶ月前にパッチが適用されていたにもかかわらず、パッチが適用されていないままの世界中のマシンが大量に存在していたため、史上最も増殖したマルウェアキャンペーンの1つとなりました。
さらに最近の例では、2020年8月にMicrosoftがパッチを公開した、オランダのセキュリティ会社Securaによって発見され公開された深刻なNetlogonリモートプロトコル(MS-NRPC)の脆弱性がありました。
Zerologon(CVE-2020-1472)として知られるこの脆弱性は、認証されていない攻撃者がドメインの管理者アカウントにアクセスすることを可能にします。認証プロトコルの欠陥により、細工された認証要求を送信すると、攻撃者が環境を完全に制御できるようになる。
パッチリリースから2ヶ月後、Securaの研究者が脆弱性の技術的な詳細を発表してから1ヶ月後、RyukランサムウェアはZerologonを悪用した大規模なキャンペーンを開始し、パッチを当てられていないシステムを大量に標的にしました。
ゼロデイ攻撃に対してどう防御するか
ゼロデイ攻撃や Nデイ攻撃からの防御には、以下のようなアプローチが必要です:
- 多層的なサイバーセキュリティ:ゼロデイ攻撃からの防御には、次世代ファイアウォールや最新のアンチウイルスソフトウェア、エンドポイント防御、認証やID管理、SIEM、そして最も重要なソフトウェアのパッチ適用など、最新のツールを使用してネットワークのあらゆる側面を制御する必要があります。多層防御のアプローチを検討する際には、まずは予防に重点を置いてください。攻撃を検知して対処するよりも、攻撃を未然に防ぐ方がはるかに安価ですし、システムをクリーンに保つことで仮に未知のエクスプロイトが侵入してきた場合でも、SIEM ツールでその兆候を見つけるチャンスが増えます。
- 優れたサイバーハイジーン(衛生管理):組織内のすべての階層において、サイバーセキュリティに対する意識を高めるために従業員を訓練することは必須です。すべての従業員は、電子メールでのコミュニケーションで何に注意すべきかを知っている必要があり、不審なリンクや添付ファイルに対処する必要があります。これらに加えて、計画的にオンタイムでソフトウェアにパッチを当てていくことで、攻撃者の最初の足掛かりを防ぎ、感染を防ぐことができます。
ゼロデイ攻撃は、確率は少ないですが、もし発生すると組織にとっては破壊的なインパクトをもたらす可能性があります。既知の脆弱性を悪用した Nデイ攻撃の方がはるかに一般的で、深刻な被害をもたらす可能性がありますが、こちらは防御することが容易です。最新のアップデートやサイバーセキュリティのニュースを常にチェックし、脆弱性のあるシステムにパッチを当て続けることで、企業はゼロデイ攻撃からの防御を強化することができます。