「ゼロデイ攻撃」は、その時点ではまだ修正プログラム(パッチ)が公開されていない脆弱性を利用するサイバー攻撃です。つまり、その時点では根本的な解決方法がない状態での攻撃ということであり、企業組織は、ゼロデイ攻撃によって多大な影響を受ける可能性があります。多くの場合、パッチが公開されるまでは、セキュリティ上の欠陥を悪用しようとするサイバー犯罪者と、セキュリティ上の欠陥を修正するためにパッチを開発するソフトウェアベンダあるいは開発者間での競争劇となります。
本ブログ記事は、ゼロデイ脆弱性について企業組織が知っておくべきこと、つまり、ゼロデイ脆弱性とは何か、そして、ゼロデイ脆弱性がどのように悪用されるかについて詳述します。企業組織はゼロデイ脆弱性について知り置くことで、ゼロデイ脆弱性が悪用されるリスクや脅威を軽減させるための対策につなげることができます。
■ゼロデイ脆弱性とは何か
まず、脆弱性とは、ソフトウェア、ファームウェア、またはハードウェア内のセキュリティ上の欠陥、弱点、またはバグのことです。これらの脆弱性に関する情報は既に一般に公表されている場合がありますが、ベンダからパッチが公開されていないために適用できず脆弱性が残存する状態を指します。リサーチャが脆弱性について既に開示している、あるいはベンダや開発者がセキュリティ上の欠陥について把握している場合がありますが、対処のための正規パッチやアップデートの供給に至っていない状態のことを「ゼロデイ脆弱性」と呼びます。
「ゼロデイ」と呼称される所以は、ベンダや開発者がその脆弱性に対するパッチを公開できていない状況に由来します。つまり、ゼロデイ脆弱性による被害の影響を受けるユーザや企業組織は、パッチによる根本的対策を講じることができません。既にベンダや開発者からパッチが供給された脆弱性については、「既知の脆弱性」または「nデイ脆弱性」と呼称が変更されます。「nデイ」とはゼロデイに対応した呼称であり、パッチが供給されてからn日目という意味になります。
■ゼロデイエクスプロイト、ゼロデイ攻撃とは何か
サイバー攻撃者は、特定の脆弱性に対し、概念実証(Proof Of Concept、PoC)または攻撃方法(エクスプロイト)もしくはそれらを利用するマルウェアの開発、デプロイを行います。これらの攻撃実施の試みが実際に成功した時点で、ベンダがまだパッチの開発に取り組んでいる、あるいは脆弱性の存在自体に気付いていない場合、ゼロデイエクスプロイト、あるいはゼロデイ攻撃と呼ばれます。ベンダや開発者はもちろん、リサーチャおよびセキュリティ専門家は、セキュリティ上の弱点を見つけて修正するため継続的に時間と労力を費やしていますが、サイバー犯罪者にも同じことが言えます。結果として、新たな脆弱性を発見し悪用を試みるサイバー犯罪者と、サイバー犯罪者に脆弱性が悪用される前に修正パッチを供給しようと試みるベンダとの間での激しいせめぎ合いとなります。
■ゼロデイ脆弱性およびゼロデイ攻撃が危険視される理由
脆弱性があったとしても、それを利用した攻撃方法、つまりエクスプロイトが確立されなければ大きな危険性はありません。その意味で、ゼロデイエクスプロイトは、バグ報奨金プログラム内で高く評価されています。2019年の例では、1つの新たなゼロデイ脆弱性に対し、200万米ドル(約2.2憶円)の報奨金が提示されたことがありました。同時にゼロデイエクスプロイトは、アンダーグラウンド市場でも高値で取引されています。サイバー犯罪者にとって、ゼロデイエクスプロイトは好都合な攻撃手法です。これは、多くのセキュリティ防御が既知の脆弱性に対処するよう設計されており、未知の脆弱性には対処できない場合が多いからです。パッチが適用されていない新たな脆弱性を利用する攻撃は長期にわたり検知されない可能性があります。
ゼロデイ攻撃の成功は、企業組織内で脆弱性が発見されてからの、パッチの供給、インストールの完了に至るまでに要する期間にも依存します。既知の脆弱性であっても、企業組織のパッチ管理ポリシーまたはパッチ開発の難易度によっては、長期的に未対策のままになる可能性があります。パッチが公開されないために適用できずにいる空白の期間が長くなるほどゼロデイ攻撃が検出されない可能性が高くなります。
■どのようにゼロデイ脆弱性が攻撃に利用されるか
サイバー犯罪者は、以下のさまざまな手法を駆使してゼロデイエクスプロイトを利用します。
- 標的型メールにより、添付ファイルもしくはURLの形式でゼロデイエクスプロイトを組み込んだ不正ファイルを開かせる攻撃
- メールやメッセージなどによって利用者をだまし、ゼロデイエクスプロイトを組み込んだ不正サイトへ誘導する攻撃
- ゼロデイエクスプロイトを利用可能な脆弱性攻撃ツール(エクスプロイトキット、EK)を設置した不正サイトに、不正広告(Malvertisement)などの方法で利用者を誘導する攻撃
- 標的のユーザが頻繁に閲覧するWebサイトを改ざんしてゼロデイエクスプロイトを組み込み、感染被害を与える水飲み場攻撃
- インターネット上に露出するシステムに対し、ゼロデイエクスプロイトを利用したネットワーク攻撃を行う不正アクセス攻撃
■ゼロデイ攻撃の事例
おそらくゼロデイ攻撃で最も悪名高い事例は2010年に登場した「Stuxnet」でしょう。Stuxnetは、複数のゼロデイ脆弱性を悪用し、主に産業用制御システム(Industrial Control System、ICS)のコンポーネントに影響を与えるよう設計されたワームであり、イランの核施設に被害を与えたとされています。
攻撃ツールが世間に流出したことで初めてゼロデイ脆弱性が発覚した事例もあります。2015年にイタリアの「Hacking Team」から流出したとされる攻撃ツールの中には、「Adobe Flash」や「Internet Explorer」など複数のゼロデイ脆弱性のエクスプロイトが含まれていました。また、2017年にハッキング集団「The Shadow Brokers」が公開した攻撃ツールの中にも、その時点で未修正の脆弱性に対するエクスプロイトが含まれていました。
最近の別の事例で言えば、ハンドル名「SandboxEscaper」で知られるリサーチャにより公開されたPoCとエクスプロイトコードがあります。これらのPoCやエクスプロイトコードは、その時点ではゼロデイだったWindows 10のタスクスケジューラの脆弱性(CVE-2019-1069)を悪用して、通常アクセスできない保護ファイルへのアクセス権の取得方法について実証しました。また、他の脆弱性と脅威連鎖した場合、サイバー犯罪者は権限を昇格させて脆弱なシステムを乗っ取ることができます。
■ゼロデイ脆弱性が企業組織にもたらすリスク
ゼロデイ脆弱性は防ぐことが難しいため、企業や組織にとって重大なセキュリティリスクをもたらします。実際の脆弱性の影響は、当然ですが、主に攻撃者の攻撃目的に依存します。リモート・デスクトップ・サービス(Remote Desktop Service、RDS)におけるゼロデイ脆弱性「BlueKeep」(CVE-2019-0708)は、その自律的なワーム活動による自動的な拡散性のために2019年5月に注目を集めました。BlueKeepの悪用に成功すると、WannaCryがEternalBlueを利用した手口と類似した方法でマルウェアの拡散を可能にします。BlueKeepがもたらすリスクは非常に大きかったため、Microsoftは、Windowsサポート対象外およびサポート終了OSである「Windows 2003およびWindows XP」にも臨時的にパッチを供給しました。
■ゼロデイ脆弱性が企業に与える潜在的影響
企業組織の機密データやミッション・クリティカル・システム上の情報が漏えいした場合、企業組織は、低下した企業イメージや評判、損害賠償や謝罪金の支払いなどによる金銭的損失、およびデータプライバシーやパッチ管理規則により科せられた罰金あるいは刑事罰に対する措置を講じることになります。
サイバー犯罪者は、脆弱性の発見からパッチが作成され適用に至るまでの空白期間を悪用します。この空白期間は、平均して約69日であると言われています。データ保護法・政策研究センター「Ponemon Institute」による2018年の調査では、「エンドポイントが侵害された企業組織」の76%はゼロデイ脆弱性を悪用する攻撃によるものであった、と発表しています。新しい変革のテクノロジーが次々と取り入れられて既存の旧テクノロジーへと統合される今日のデジタルトランスフォーメーション時代では、新旧テクノロジー間での不整合が生じてしまうため、これらを利用するシステム内には必然的に脆弱性が混入してしまいます。事実、ゼロデイ脆弱性を狙う攻撃頻度は2015年の「週1回」から、2021年には「1日1回」に増加すると予測されています。
■ゼロデイ攻撃への防御対策
性質上、ゼロデイ攻撃は本質的に予測不可能であり、事前準備と防御が困難です。これは既知の、既に修正された脆弱性を中心にセキュリティ対策を展開する企業組織に特に当てはまります。一方、予防的な多層防御アプローチは、ゼロデイ脆弱性を悪用する攻撃の機会を軽減するのに役立ちます。
ゼロデイ攻撃から防御するため企業組織が採用可能なセキュリティ対策を以下にいくつか示します。
- 定期的にオンラインインフラストラクチャを更新する。これは事後対応型の対策に思えるかもしれませんが、システム、サーバ、およびネットワークへのパッチが利用可能になり次第に適用することで、セキュリティ上の弱点の数および脆弱性を狙うエクスプロイトの数を減少させることができます。企業組織は、ゼロデイ脆弱性に関する対策方法をパッチ管理ポリシーやインシデント対応、およびセキュリティ戦略にも同様に組み込む必要があります。
- 電子メールゲートウェイ、サーバ、およびネットワークを保護する。ゼロデイ攻撃は、企業組織のオンラインインフラストラクチャのさまざまな攻撃対象領域に合わせて攻撃手法を変えることができます。これは、マルウェア実行やペイロード配信、横展開活動(侵入先での情報収集活動)などを促進させるために行われます。
- 最小権限の原則を実施する。多くの脅威は、正規かつオープンソースの侵入防御テストやシステム管理ツールを不正に利用して脆弱性を悪用します。これらの使用範囲を制限・保護することで、攻撃者がネットワークまたはシステム全体にアクセスするリスクを減らすことができます。
- サイバーセキュリティ衛生を醸成させ実践する。フィッシング攻撃への認識を高めるなど、職場環境全体でサイバーセキュリティ文化を育むことは企業全体のセキュリティを強化につながり、企業組織が展開するセキュリティ対策同様役立ちます。
- 多層的セキュリティ防御を採用する。セキュリティ層の追加は、企業組織への攻撃の機会を減少させます。たとえば、ファイアウォールと侵入検知および防止システムは、悪意のあるトラフィックとネットワークアクティビティのフィルタリングに役立ちます。アプリケーションコントロールおよび動作監視は不審な実行可能ファイルやマルウェアに関連する不正活動の実行を防止し、サンドボックスが不審なファイルや悪意のあるファイルを隔離します。
■ゼロデイエクスプロイトに対処する仮想パッチの仕組み
仮想パッチまたは脆弱性シールドは、企業組織が展開する既存のセキュリティ対策を補完できるメカニズムの1つです。仮想パッチは、既知および未知の脆弱性を利用する脅威に対する安全対策として、脆弱性を突く攻撃が、脆弱なシステムまたはアプリケーションとの間におけるネットワークパスを行き来できないようにセキュリティポリシーとルールの層を実装することによって機能します。この機能により、企業組織は脆弱性の修正に必要な時間を確保でき、セキュリティチームによる脆弱性調査やパッチテスト、正規パッチの適用を可能にします。
仮想パッチの適用は、パッチの提供がすでに終了したレガシーシステムや、Windows Server2008 のようなサポート終了済のOS、Internet of Things(IoT、モノのインターネット)デバイス、あるいはパッチ適用に高額な費用がかかってしまうITインフラストラクチャ保護を可能にします。
ゼロデイ脆弱性およびゼロデイ攻撃に関する詳細については、ゼロデイ脆弱性とは何か、どのように悪用するか、どのようにリスクを緩和するかについて解説したこちらのインフォグラフィック「Security 101: Zero-Day Vulnerabilities and Exploits」(英語)もご参照ください。
■トレンドマイクロの対策
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security™」は、仮想パッチにより、重要アプリケーション、OS(各Linuxカーネル、AIX、Soraris、Windows Server 2008や2003のようなサポートが終了したWindows)、DockerやKubernetesのようなプラットフォームにおけるネットワークベースの脆弱性を利用する脅威からクラウド、サーバ、そしてコンテナを保護します。
法人向けエンドポイント製品「Trend Micro Apex One™」の仮想パッチは、PoS、IoTデバイス、そしてサポートが終了したOSのようなさまざまなエンドポイントに、脆弱性に対する保護を適時提供します。
ネットワーク型侵入防御システム「TippingPoint」は、Digital Vaccine®フィルタを介して、仮想パッチとネットワーク攻撃が可能な脆弱性に対する保護を提供します。
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処します。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで脅威を検知します。
参考記事:
- 「Security 101: Zero-Day Vulnerabilities and Exploits」
by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, Trend Micro™ Research)