未解決の脆弱性を突く
「ゼロデイ攻撃」の脅威を徹底解説
「ゼロデイ攻撃」もしくは「ゼロデイ・エクスプロイト」という言葉を聞いたことがあるでしょうか?ゼロデイ攻撃とはOSやアプリケーションに含まれるセキュリティ脆弱性(セキュリティホール)をついてしかける攻撃のことです。事前に発見することが不可能なゼロデイ攻撃は、ある日突然、攻撃をしかけてきます。今回の記事では、ゼロデイ攻撃の定義と、どうやって防ぐのかについてご紹介していきたいと思います。
ゼロデイ攻撃とは
ゼロデイ攻撃とは、ソフトウェアの脆弱性(セキュリティホール)を標的とした攻撃のうち、脆弱性が発見されてから、開発者によって修正プログラムなどの対策が提供されるまでの時間差を利用して行われる攻撃のことです。修正プログラムが提供される日(One day)より前(zero day)にその脆弱性を攻略する攻撃をしかけることで、脆弱性を解消する手段がない状態で脅威にさらされる状況を指します。ゼロデイ・エクスプロイトとも呼ばれます。エクスプロイトとは簡単にいうと攻撃を仕掛けるマルウェアのことOSやアプリケーションに含まれるセキュリティ脆弱性(セキュリティホール)をつくコードやプログラムを指します。
1)感染経路
エクスプロイトが「送り込まれる」経路は主に2つあります。1つは、悪意あるエクスプロイトコードが仕込まれたサイトにアクセスしたときです。もう1つは、一見無害そうで実は悪質なコードが隠されたファイルを開いたときです。ほとんどのエクスプロイトは、スパムやフィッシングメールを介して送り込まれます。
2)有用な対策
使用するプログラムやアプリケーションには提供されるパッチを当てて、ソフトウェアやプログラムを常にアップデートすることが重要です。機能が改善されるだけでなく、セキュリティホールも修繕されるからです。また信頼できるベンダーのセキュリティソフトを併用すると共に、不用意に怪しいメールを開いたり指定されるリンクをクリックしたりしないという心がけも大切です。
ゼロデイ攻撃の事例
2018年に入って2度もゼロデイ脆弱性を発見した功績のあるセキュリティ研究者のSandboxEscaper氏が、Windowsのファイル読み取り権限に関わる新しいゼロデイ脆弱性を発見し、Twitter上で報告しています。
新たに公開されたWindowsのゼロデイ脆弱性は、低特権ユーザーや悪意のあるプログラムが「ターゲットとなるWindowsコンピューター上にある任意のファイル内容の読み取りが可能になる」という、本来であれば管理者レベルの特権を得てしまうというもの。
このゼロデイ脆弱性はWindowsのMsiAdvertiseProductという、広告スクリプトを生成したりインストーラーにレジストリやショートカット情報を書き込むことを許可したりする機能に存在しています。
引用:https://news.goo.ne.jp/article/gigazine/trend/gigazine-57926.html
ハッカーによって発見されてTweetされたこの脆弱性は、広告スクリプトMsiAdvertiseProductを呼び出すと、インストーラーがシステム権限として任意のファイルのコピーを作成し、任意のファイルの読み取りを可能とするゼロデイ脆弱性を引き起こすものです。
macOSにおいて未修正の脆弱性を悪用するマルウェア「Linker」が報告された。
「macOS」において、ユーザーの許可を経てソフトウェアの起動を許可する「Gatekeeper」がパイパスされる未修正の脆弱性が判明しており、同脆弱性を悪用するマルウェアが確認されたもの。
問題の脆弱性は、ネットワーク共有上のアプリケーションが「Gatekeeper」をバイパスできるもの。zipアーカイブにシンボリックリンクを使用してオートマウント機能によりネットワーク共有をマウントさせることで、攻撃者は外部ネットワーク上へ保存されたアプリケーションを警告なしに起動させることが可能になる。
macOSを攻撃するマルウェア Linkerは、発見から90日経っていますが未だ対処がとられていないため、最新版である「macOS 10.14.5」も影響を受けている状況とのことです。
Mozillaは6月20日(米国時間)、デスクトップ向け「Firefox」の最新安定版v67.0.4を公開した。本バージョンでもゼロデイ脆弱性の修正が行われている。この問題は、「Firefox 67.0.3」で修正された脆弱性(CVE-2019-11707)とともに、仮想通貨取引所“Coinbase”の従業員を狙った標的型攻撃に用いられたという。
WebブラウザのFirefoxに発覚した深刻な脆弱性は6月18日に対処されましたが、その前日の17日に、米仮想通貨取引所のCoinbaseがこの脆弱性を利用した攻撃を受けたことが明らかになっています。攻撃事態はすぐにブロックされたものの、セキュリティが甘ければ仮想通貨取引の重大事故につながった可能性も否定できません。
ゼロデイ脆弱性はWindows、MacといったOSからFireFoxといったブラウザまで、私たちの身近にあるアプリケーション全般にリスクが潜んでいることを示しています。しかも一旦ゼロデイ攻撃がしかけられると、プロバイダーが対応するまで脅威が放置されてしまうことになります。
最後に
ゼロデイ攻撃を事前に発見することはできません。攻撃者が開発元より先に脆弱性を発見するか、開発元がプログラムを修正するより前に脆弱性を悪用します。攻撃の発生後、情報漏えいなどの被害の発生を通じて脆弱性の存在が公になるか、開発元がその存在に気づいて問題を修正するパッチを作成、公開します。ゼロデイ攻撃を引き起こす脆弱性の存在は分かりにくく、場合によっては開発元がその脆弱性を把握するのに数カ月から年単位たってしまうこともあります。
こうしたゼロデイ攻撃は、昔から蔓延してきました。例えば、2010年1月にGoogleをはじめとする複数の企業に被害を及ぼした「Operation Aurora」は、Internet Explorer(IE)の脆弱(ぜいじゃく)性を利用し、Google、Adobe SystemsなどのWebサイトを攻撃し、Gmailのアカウントを盗みだしました。企業のサーバならば、一度悪意あるクラッカーに脆弱性をついて攻撃されると、深刻な個人情報漏洩といった重大インシデントにつながってしまします。顧客情報などが流出すれば、会社の信用が失墜するだけでなく、莫大な罰金や慰謝料の支払いの対象にもなり得ます。攻撃までタイムラグがあるゼロデイ攻撃は見過ごされやすく、対策も容易くはありませんが、日ごろからセキュリティ情報には注意を払って修正パッチや緩和策の導入をするようにしましょう。