ゼロデイ攻撃の脅威と対策

2018年12月19日、Microsoft社は、毎月の更新プログラムとは別に、Microsoft Internet Explorerの脆弱性に対する深刻度「緊急」のセキュリティ更新プログラムをリリースしました。脆弱性を悪用したゼロデイ攻撃を確認したためだそうです。

セキュリティ担当者たちを震撼させるゼロデイ攻撃とはどのようなものなのでしょうか。
今回は、ゼロデイ攻撃が実行される背景と攻撃手法、また、その対策についてご紹介します。

ゼロデイ攻撃とは

脆弱性に対するサイバー攻撃のうち、解消する手段がない脆弱性（脆弱性は見つかったもののパッチなどの修正策がまだ存在しなかったり脆弱性情報が未公表だったりするもの）を利用するものをゼロデイ攻撃といいます。

修正プログラムが提供される日（One day）より前に攻撃されることから、「ゼロデイ」と言われるようになったのです。

ゼロデイ攻撃が発生する背景

ゼロデイ攻撃は、パッチなどが提供されるまでは対応策が限定されるため、サイバー攻撃のなかでもっとも深刻なダメージを受けるとされています。攻撃者からすれば、大変有利な状況での攻撃となります。

サイバー攻撃の手法として大きな脅威とされている標的型メール攻撃は、高度化・巧妙化しており、件数も年々増加傾向にありますが、各方面からの警告により対象者側の警戒意識も高まっており、メールや添付ファイルが開かれにくくなってきました。

参考：平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について（警察庁）

そのため、ユーザー側にアクションをさせずとも感染させる方法として、脆弱性への攻撃が悪用されるようになってきました。かつては、こうした攻撃には専門知識が必要でしたが、近年では「エクスプロイト・キット」と呼ばれる攻撃ツールがアンダーグラウンドのウェブサイトやマーケットプレイスで売買・レンタルされるようになり、高度な専門知識がなくても攻撃を仕掛けることができるようになってきました。

※エクスプロイト…脆弱性を悪用して攻撃するプログラムやツール。

さらに、自らがセキュリティチェックツールを悪用することで、これらの攻撃コードが実装されたマルウェアが検知されないかどうかも事前にチェックできるため、攻撃者にとっては成功しやすい環境が着々と整ってきているといえます。

ゼロデイ攻撃の仕組み

では、ゼロデイ攻撃が実際にどのように行われるのか、その仕組みを代表的な攻撃の種類を例にご紹介します。

ドライブバイダウンロード

ユーザーが利用しているPCのブラウザやアプリケーション等の脆弱性を悪用し、Webページを閲覧しただけでマルウェアが勝手にダウンロードされ、そのままインストールされる攻撃です。他にも、悪意あるWebサイトへ誘導したり、Webカメラやマイクを作動させたり、非公開にしていた情報を意図せず公開させられたりする可能性があります。

バッファオーバーフロー攻撃

プログラムで用意されたバッファ領域よりも大きなサイズのデータをバッファ領域に書き込むことで、あふれ出たデータが外側のメモリを上書きしてしまうというバグを悪用した攻撃です。

攻撃者が改ざんしたWebページやファイルを読み込むことでバッファオーバーフローが起き、悪意あるコードがユーザー側のPCで実行されてしまいます。

ゼロデイ攻撃の事例

ここで、具体的なゼロデイ攻撃の事例を3つご紹介します。

三菱UFJニコスでの不正閲覧事件（2014年）

2014年4月に発見されたOpenSSLのバグを悪用して行われる攻撃「ハートブリード攻撃」による事件です。ハートブリード攻撃は、通信相手が存在しているかどうかを確認する「ハートブリード（Heartbleed／心臓出血）」拡張機能にあるバグで、攻撃者がリモートにより細工されたパケットを送ることで、サーバのメモリ内にある「パスワード」や暗号化に使う「秘密鍵」などの重要な情報が閲覧可能となりました。これを悪用され、三菱UFJニコスで894人のWEB会員の個人情報が不正閲覧されました。
（参照）https://tech.nikkeibp.co.jp/it/article/NEWS/20140421/551884/

MS Office/ WordPadの脆弱性「CVE-2017-0199」に対するゼロデイ攻撃（2017年）

2017年4月12日、Microsoft社が月例のセキュリティ更新プログラムを公開しましたが、更新された脆弱性のうちMS OfficeとWordPadで、悪意ある加工ファイルを開くかプレビューするとリモートでシステムが乗っ取られるコードが実行されるおそれのある状態でした。この脆弱性に対するゼロデイ攻撃として、オンライン銀行詐欺ツールを拡散する目的でのRTF形式文書ファイルを添付したメールがおもに海外で広まっていたことが指摘されています。
（参照）https://internet.watch.impress.co.jp/docs/news/1054738.html

シェルショック（2014年）

2014年9月24日に発表された脆弱性に対する攻撃で、Linuxなどのシェル（ユーザーにOSのインタフェースを提供するソフトウェア）として用いられているオープンソースプログラムのBashの脆弱性を悪用したもので、Bash の稼働しているサーバで遠隔からコードを実行することが可能になっていました。修正プログラムは当日中に用意されましたが、翌日までにこの脆弱性を攻略したコンピューターから成るボットネットが攻撃者によって使われ、ゼロデイ攻撃となっていたことがわかりました。Bashは、多くのLinuxやMacOSにデフォルトで入っているため、最新バージョンのBashにアップデートしていない端末が狙われる可能性があります。
（参照）https://www.itmedia.co.jp/enterprise/articles/1502/27/news140.html

ゼロデイ攻撃の対策

ゼロデイ攻撃対策の基本は、まずは回避策を実施することです。パッチが出るまでの間、被害を低減または回避するような対策が公開されることがあります。まずは回避策が公開されていないかを確認し、公開されている場合は適用することが大事です。

一方で上記のような回避策が公開されていない、もしくは未公表となっている脆弱性に対する攻撃を防御するために、そのほかの多くのサイバー攻撃と同様、①入口対策　②内部対策　③出口対策の3つの観点から対策を行うことが重要です。

①入口対策

ファイアウォールを設置して不正な通信をブロックしたり、サンドボックスを設置して未確認の添付ファイルなどを実行したときに異常な動きがないかを分析したりすることなどが挙げられます。

②内部対策

内部対策として、動作を許可するアプリケーション以外は起動・実行できないように制限するためのホワイトリスト型の製品、ゼロデイ攻撃を行うマルウェアを検知・隔離するマルウェア対策ソフトなどの導入など対策を多重で講じることが効果的です。

③出口対策

万が一、脆弱性を利用して攻撃者に侵入されてしまった場合、そこで攻撃者が外部と通信できないようにし、情報を持ち出されるのを防ぐ出口対策が重要になってきます。
外部への送信データをチェックしたり、不正通信を感知したら遮断したりするなどの対策が該当します。

まとめ

修正策が未対応の脆弱性をターゲットとするゼロデイ攻撃の多くは、既存の脆弱性に対する攻撃を応用して行われています。そのため、利用しているソフトウェアを常に最新版にアップデートしておくことや、サポート切れのソフトウェアを使用しないこと、脆弱性情報のチェックを怠らないことなど日々の対策を徹底することも重要です。

アイネスでは「ゼロデイ攻撃対策」として、AI搭載により既知・未知を問わず脅威を検出・防御できる次世代マルウェア対策ソフト「BlackBerry Protect（旧CylancePROTECT）」をはじめ、IPS（Intrusion Prevention System／侵入防止システム）機能や、マルウェアを振る舞いで判断するサンドボックスを搭載した次世代FWである「Palo Alto Networks PAシリーズ」、攻撃手法によらないWebサイト改ざん検知と瞬時の復旧が行えるサービス「Peacock tail」などを提供しています。

詳しくは、下記ページをご覧ください。

次世代マルウェア対策ソフト　BlackBerry Protect（旧CylancePROTECT）

次世代ファイアウォールマネージドサービス　Palo Alto Networks PAシリーズ

Webサイト改ざん検知／瞬間復旧ソリューション　Peacock tail（ピーコックテイル）

サイバー攻撃対策について、どうぞお気軽にお問合せください。