この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ゼロデイ攻撃の手口と対策

2011/10/18


 徹底的にガードを固めた企業システムでも、ゼロデイ攻撃には対応不能なのが実情。万全のセキュリティを備えているはずの世界的大企業や軍事的な重要性を持つ組織のシステムでも、ゼロデイ攻撃に気づかず、情報流出の危険にさらされたことがある。最近のAPT(Advanced Persistent Threats:新しいタイプの攻撃)と呼ばれる攻撃手法では、さまざまな種類の攻撃が執拗に繰り返されるが、攻撃の端緒を開くのは、たいていゼロデイ攻撃だ。今回は、ゼロデイ攻撃の実際と、それに対応するにはどうするべきか、また攻撃を発見したらどんな行動をとるべきかについて紹介していく。

ゼロデイ攻撃

ゼロデイ攻撃によりセキュリティツールベンダから情報流出!狙いは軍事機密?

 OSやアプリケーションの脆弱性を狙うウイルスは、今ではウイルス作成ツールを利用して亜種・変種が簡単に作れるようになった。そればかりか、この種のウイルス作成や、作成したウイルスによる攻撃を請け負うビジネスも登場している。
 ウイルス作成の敷居が低くなったことは、スクリプトキディーと呼ばれるような、好奇心を主な動機にしたクラッカー達によるゲーム感覚の攻撃を増やすことにつながっているようだ。使う手口はありきたりでも、脆弱性対策が十分でない組織のシステムは、手もなくこの種の攻撃にひっかかる。
 問題は、そんな攻撃なら鼻で笑って対応できる高セキュリティの企業が、攻撃に気づかず重要な情報漏洩を起こしていることだ。ゲーム感覚の攻撃に紛れるように、周到に準備され、計画的に段階を追って重要な情報を盗み出そうとする攻撃が、仕掛けられていることがあるのだ。例えば2011年3月に発覚した、EMCのRSA SecureID部門に対する攻撃がその典型例だ。
 この攻撃により、同社は世界的に普及しているワンタイムパスワードツールに関連する情報が窃取されたことを公表した。このAPTはおよそ5段階で実行されたことが後日わかっている(図1)。

図1 APTの手口の実例
図1 APTの手口の実例
EMCの公表資料をもとにキーマンズネットが作成

 攻撃の始まりは、「2011年採用計画」と題されたExcel添付ファイルを、従業員の1人が開いてしまったことだ。そのファイルには、まだ公表や対策パッチの提供がされていないFlashの脆弱性(ゼロデイ脆弱性)を狙う不正コードが仕込まれていた。その不正コードにより、システムに不正なバックドアが開かれ、外部の攻撃用サーバとの通信が可能になった。この通信路により攻撃者はPCのリモート操作が可能になり、さまざまな操作を行うことができた。システム内部に攻撃用のいわば「基地」を作り、感染PC以外の、より重要なサービスやサーバへのアクセス権限を獲得して、機密情報を収集していった。やがて、その機密情報は暗号化されたRARファイルとして、FTPで外部の攻撃者のもとに送り出された。これが攻撃の概要だ。
 同社は窃取された情報によって同社技術を採用しているユーザのシステムに脅威が生じることを否定しているが、それでも懸念を覚えるユーザに対しては、ワンタイムパスワード用のトークンの交換を含めた対策手段を提供することになった。
 それだけでも同社にとって大きな打撃となったが、その後の6月、さらに不安を掻き立てる報道があった。アメリカ軍需産業の大手企業に、同社から盗まれた情報を利用したサイバー攻撃が確認されたのだ。これは、防衛機密や関連する知的財産の窃取を目的とするものと同社では推定し、金銭目的や個人情報取得を狙ったものでなく、また愉快犯でもないとしている。
 ともあれ、この事件が示唆しているのは、APTやゼロデイ攻撃が、ややもすると国家的な影響にまで発展しかねない力を持っているという、恐ろしい事実だ。


1

ゼロデイ攻撃の手口とは

 この経過に見るように、攻撃の端緒は標的型攻撃メールに仕込まれたゼロデイ攻撃だった。GumblerやStuxnetなど、近年話題にのぼる攻撃の多くに、ゼロデイ攻撃が組み込まれている。ゼロデイ攻撃そのものが大きな被害をもたらすことはあまりないが、多くの場合はこの攻撃によって攻撃者が組織内のシステムを操る通信路が開かれ、さまざまなコマンド実行や新しいウイルスの送り込みやすでに感染済みのウイルスのアップデートなどが行われてしまう。何が行われるかは予測できず、場合によってはターゲット企業の被害だけにとどまらず、社会インフラをも破壊してしまうような重大な被害につながりかねない。

1-1

狙われる脆弱性とは

 ゼロデイ攻撃は、一般の企業組織などにとっては未知のOSやアプリケーションの脆弱性を狙うものだ(図2)。

図2 ゼロデイ攻撃とは
図2 ゼロデイ攻撃とは
提供:IPA

 OSやアプリケーションに脆弱性が生じてしまうのには、さまざまな原因がある。例えば、そもそも仕様上に不備があった場合、Webアプリケーションの作り込みが不十分である場合、バッファのチェックが十分でない場合、ファイルのパス名や内容のチェックに不備がある場合、アクセス制御に不備がある場合、セキュリティコンテキストの適用に不備がある場合などだ。脆弱性は、例えば次のような脅威を引き寄せてしまう。

任意のスクリプト、コード、コマンドの実行

任意のファイルへのアクセス

データベースの不正操作

通信の不正中継

認証情報などをはじめとする情報漏洩

アクセス制限の回避

なりすまし

サービス不能攻撃

 攻撃者がウイルスを作成して拡散のための行動に移る前に、その脆弱性に対応したパッチを入手し、適用するのが望ましい。とはいえ、パッチ作成にも時間はかかる。どの程度の時間がかかるのかについて、間接的なデータだが、IPAとJPCERT/CCが共同運営している脆弱性対策情報ポータルサイトJVNへの脆弱性届出と、その情報の公表までの時間を見てみよう(図3)。脆弱性関連情報は、製品ベンダやセキュリティベンダ、研究機関などが発見して届け出があった時点ではなく、対策パッチの提供などの対応がとれてからの公開となる。受理からJVNでの公表までに要した日数は、対策提供までの時間と相関している。図3から、受理件数の36%が、受理から45日以内に公表されているが、100日以上かかるケースが少なくないことがわかる。

図3 ソフトウェア製品の脆弱性公表日数
図3 ソフトウェア製品の脆弱性公表日数
※「ソフトウェア等の脆弱性関連情報に関する届出状況 [2011 年第2 四半期(4 月〜6 月)]」より
提供:IPA

 ゼロデイ攻撃が行われたことが発覚した場合のベンダ側の動きは速く、ターゲットとなった脆弱性は1週間〜1ヵ月で対策用のパッチ提供が行われている。ときにはパッチ提供前に、回避策として設定変更などの手段がある場合には、それを公表するケースもある。しかし、攻撃が発覚していない場合や、攻撃がごく少数である場合などでは対応の速さがベンダによってまちまちだ。場合によっては長期間にわたって放置されていることもある。

セキュリティ情報局にご登録頂いた方限定で「ゼロデイ攻撃の手口と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ゼロデイ攻撃/ゼロデイ攻撃の手口と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ゼロデイ攻撃」関連情報をランダムに表示しています。

ゼロデイ攻撃」関連の製品

Lookout Mobile Threat Protection 【ルックアウト】 WebARGUS (ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 アプリ脆弱性に迅速に対応するインターネット分離後の運用管理 【ヴイエムウェア】
IPS IPS UTM
未知のモバイル脅威を予測して侵入を阻止するモバイルセキュリティソリューション。マルウェア感染の可視化やMDMソリューションとの連携により、安全な運用を実現する。 Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 インターネット分離は万能防御策ではない――導入後の運用管理術

ゼロデイ攻撃」関連の特集


ウイルスやサイバー攻撃による被害状況に関する調査報告書から現状をおさらい!各種セキュリティリスクへの…



情報漏洩やフィッシングの原因、増え続ける「Webからの脅威」に本気で対抗!導入必須「アンチウイルス」…



 本寄稿は今回で第3回目となる。第1回目ではオンラインバンキングにおける業界的なOTP(ワンタイムパ…


ゼロデイ攻撃」関連のセミナー

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 11月29日(火),12月14日(水)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

ランサムウェアやビジネスメール詐欺への最適な対策とは? 【テクマトリックス/日本プルーフポイント】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

90%以上の標的型攻撃はメールがきっかけとなっていることは周知の事実です。実際の被害は企業規模や地域に関係なく起きています。攻撃者は、取引先や同僚を装う巧みな文…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004386


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ