セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

攻撃手法解説:ゼロデイ攻撃


「ゼロデイ攻撃」とは、ソフトウェアの脆弱性が発見されてから修正プログラムが提供されるまでに行われる攻撃を指します。
ソフトウェアの脆弱性が見つかるとソフトウェアベンダーは修正プログラムを開発しますが、攻撃者もその脆弱性を狙ったマルウェアを作成します。もし、修正プログラムより先にマルウェアが完成したら、脆弱性への対処ができない空白期間が生まれます。この空白期間に行われる攻撃を「ゼロデイ攻撃」と呼びます。「ゼロデイ」という言葉の由来は、ベンダーから修正プログラムが提供される日を1日目=「One day」とし、それより前に行われる=「Zero day」ことから来ています。

例えば、2019年6月にはFirefoxの脆弱性を悪用したゼロデイ攻撃が確認されました。[1]この攻撃では、仮想通貨関連の組織が標的となりました。ここで用いられたマルウェアは、macOSのセキュリティ機能までも突破しています。

この事例のように、最近は特定の組織を狙った「標的型攻撃」と組み合わせたゼロデイ攻撃も発生しています。標的型攻撃では、入念に段階を踏んで攻撃が仕掛けられます。そのため、脆弱性に対して修正プログラムが適用される頃には、すでに手遅れになってしまう場合もあります。

依然として猛威を振るう標的型攻撃

被害事例

以下に、ゼロデイの脆弱性を突いた攻撃事例を紹介します。

三菱UFJニコスでの情報漏洩(2014年)

この攻撃で用いられたのは、OpenSSLの脆弱性です。攻撃者がリモートから細工されたパケットを送ることで、サーバのメモリ内にあるパスワードや暗号鍵などが閲覧可能となりました。これを悪用され、三菱UFJニコスで894人分の個人情報が流出しました。

「Microsoft Office」「Microsoft WordPad」の脆弱性に対するゼロデイ攻撃(2017年)

「Microsoft Office」「Microsoft WordPad」の脆弱性を突いたバンキングマルウェアがメールによって拡散されました。添付されたファイルをMicrosoft OfficeとMicrosoft WordPadで開いたりプレビューしたりすると、システムが乗っ取られるコードが実行されるといったものでした。

「Adobe Acrobat」「Adobe Reader」を利用した攻撃(2018年)

「Adobe Acrobat」「Adobe Reader」のゼロデイ脆弱性を利用した攻撃が確認されました。[2]脆弱性を悪用したコンテンツを開いた場合、任意のコードが実行されたり、情報が詐取されたりする恐れがあります。バージョンを最新に更新しておくこと、信頼できる送信元以外から送られてきたPDFファイルを不用意に開かないことが重要です。

対策

それでは、ゼロデイ攻撃にはどのように対処すればよいのでしょうか。

既知の脆弱性への対策

ゼロデイ攻撃では、未知の脆弱性だけでなく、既知の脆弱性を組み合わせて利用するケースもあります。OS、ブラウザなどの脆弱性が発見された場合は、修正プログラムを確実に適用しておきましょう。更に、アンチウイルスソフトのパターンファイルを最新の状態に保ち、二重に対策をしておくことが重要です。

情報処理推進機構(IPA)とJPCERT/CCが共同運営するウェブサイト「JVN」では、脆弱性の最新情報が公開されています。
Japan Vulnerability Notes (JVN)

未知の脆弱性への対策

脆弱性を狙う新種のマルウェアは次から次へと開発されます。そのすべてをアンチウイルスソフトのパターンファイルによる検知で防ぐことは困難です。さらに、冒頭でも述べた通り、新たな脆弱性への対応にはタイムラグが発生することもあります。このような未知の脆弱性に対しては、サンドボックスや振る舞い検知など、未知の脅威にも対応したツールが必要となります。

自社のセキュリティ対策が未知の脅威にも対応しているかどうかを確認しましょう。

宝情報では、ゼロデイ攻撃対策として、「先読み防御」で未知の脅威から守る次世代エンドポイントセキュリティ「FFRI yarai」をはじめ、IPS(侵入防止システム)機能や、マルウェアを振る舞いで判断するサンドボックス機能を搭載した「CheckPoint UTM」、ランサムウェア暗号化からの回復機能を持つソフトウェアサンドボックス「CheckPoint SandBlast Agent」等を取り扱っています。

img_yarai_ロゴ大 img_cp700_01 img_cp700_01

脚注

[1]引用:仮想通貨取引狙うゼロデイ攻撃続発 Mac“門番”も見過ごす | IT media
[2]引用:Adobe Acrobat および Reader の脆弱性対策について | 情報処理推進機構(IPA)

おしらせ

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社主催のサイバー・セキュリティ・サミット「CPX 2019 Tokyo」 が開催されます。詳細はこちらの記事をご覧ください。

記事一覧に戻る