この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ゼロデイ攻撃の手口と対策

2011/10/18


 徹底的にガードを固めた企業システムでも、ゼロデイ攻撃には対応不能なのが実情。万全のセキュリティを備えているはずの世界的大企業や軍事的な重要性を持つ組織のシステムでも、ゼロデイ攻撃に気づかず、情報流出の危険にさらされたことがある。最近のAPT(Advanced Persistent Threats:新しいタイプの攻撃)と呼ばれる攻撃手法では、さまざまな種類の攻撃が執拗に繰り返されるが、攻撃の端緒を開くのは、たいていゼロデイ攻撃だ。今回は、ゼロデイ攻撃の実際と、それに対応するにはどうするべきか、また攻撃を発見したらどんな行動をとるべきかについて紹介していく。

ゼロデイ攻撃

ゼロデイ攻撃によりセキュリティツールベンダから情報流出!狙いは軍事機密?

 OSやアプリケーションの脆弱性を狙うウイルスは、今ではウイルス作成ツールを利用して亜種・変種が簡単に作れるようになった。そればかりか、この種のウイルス作成や、作成したウイルスによる攻撃を請け負うビジネスも登場している。
 ウイルス作成の敷居が低くなったことは、スクリプトキディーと呼ばれるような、好奇心を主な動機にしたクラッカー達によるゲーム感覚の攻撃を増やすことにつながっているようだ。使う手口はありきたりでも、脆弱性対策が十分でない組織のシステムは、手もなくこの種の攻撃にひっかかる。
 問題は、そんな攻撃なら鼻で笑って対応できる高セキュリティの企業が、攻撃に気づかず重要な情報漏洩を起こしていることだ。ゲーム感覚の攻撃に紛れるように、周到に準備され、計画的に段階を追って重要な情報を盗み出そうとする攻撃が、仕掛けられていることがあるのだ。例えば2011年3月に発覚した、EMCのRSA SecureID部門に対する攻撃がその典型例だ。
 この攻撃により、同社は世界的に普及しているワンタイムパスワードツールに関連する情報が窃取されたことを公表した。このAPTはおよそ5段階で実行されたことが後日わかっている(図1)。

図1 APTの手口の実例
図1 APTの手口の実例
EMCの公表資料をもとにキーマンズネットが作成

 攻撃の始まりは、「2011年採用計画」と題されたExcel添付ファイルを、従業員の1人が開いてしまったことだ。そのファイルには、まだ公表や対策パッチの提供がされていないFlashの脆弱性(ゼロデイ脆弱性)を狙う不正コードが仕込まれていた。その不正コードにより、システムに不正なバックドアが開かれ、外部の攻撃用サーバとの通信が可能になった。この通信路により攻撃者はPCのリモート操作が可能になり、さまざまな操作を行うことができた。システム内部に攻撃用のいわば「基地」を作り、感染PC以外の、より重要なサービスやサーバへのアクセス権限を獲得して、機密情報を収集していった。やがて、その機密情報は暗号化されたRARファイルとして、FTPで外部の攻撃者のもとに送り出された。これが攻撃の概要だ。
 同社は窃取された情報によって同社技術を採用しているユーザのシステムに脅威が生じることを否定しているが、それでも懸念を覚えるユーザに対しては、ワンタイムパスワード用のトークンの交換を含めた対策手段を提供することになった。
 それだけでも同社にとって大きな打撃となったが、その後の6月、さらに不安を掻き立てる報道があった。アメリカ軍需産業の大手企業に、同社から盗まれた情報を利用したサイバー攻撃が確認されたのだ。これは、防衛機密や関連する知的財産の窃取を目的とするものと同社では推定し、金銭目的や個人情報取得を狙ったものでなく、また愉快犯でもないとしている。
 ともあれ、この事件が示唆しているのは、APTやゼロデイ攻撃が、ややもすると国家的な影響にまで発展しかねない力を持っているという、恐ろしい事実だ。


1

ゼロデイ攻撃の手口とは

 この経過に見るように、攻撃の端緒は標的型攻撃メールに仕込まれたゼロデイ攻撃だった。GumblerやStuxnetなど、近年話題にのぼる攻撃の多くに、ゼロデイ攻撃が組み込まれている。ゼロデイ攻撃そのものが大きな被害をもたらすことはあまりないが、多くの場合はこの攻撃によって攻撃者が組織内のシステムを操る通信路が開かれ、さまざまなコマンド実行や新しいウイルスの送り込みやすでに感染済みのウイルスのアップデートなどが行われてしまう。何が行われるかは予測できず、場合によってはターゲット企業の被害だけにとどまらず、社会インフラをも破壊してしまうような重大な被害につながりかねない。

1-1

狙われる脆弱性とは

 ゼロデイ攻撃は、一般の企業組織などにとっては未知のOSやアプリケーションの脆弱性を狙うものだ(図2)。

図2 ゼロデイ攻撃とは
図2 ゼロデイ攻撃とは
提供:IPA

 OSやアプリケーションに脆弱性が生じてしまうのには、さまざまな原因がある。例えば、そもそも仕様上に不備があった場合、Webアプリケーションの作り込みが不十分である場合、バッファのチェックが十分でない場合、ファイルのパス名や内容のチェックに不備がある場合、アクセス制御に不備がある場合、セキュリティコンテキストの適用に不備がある場合などだ。脆弱性は、例えば次のような脅威を引き寄せてしまう。

任意のスクリプト、コード、コマンドの実行

任意のファイルへのアクセス

データベースの不正操作

通信の不正中継

認証情報などをはじめとする情報漏洩

アクセス制限の回避

なりすまし

サービス不能攻撃

 攻撃者がウイルスを作成して拡散のための行動に移る前に、その脆弱性に対応したパッチを入手し、適用するのが望ましい。とはいえ、パッチ作成にも時間はかかる。どの程度の時間がかかるのかについて、間接的なデータだが、IPAとJPCERT/CCが共同運営している脆弱性対策情報ポータルサイトJVNへの脆弱性届出と、その情報の公表までの時間を見てみよう(図3)。脆弱性関連情報は、製品ベンダやセキュリティベンダ、研究機関などが発見して届け出があった時点ではなく、対策パッチの提供などの対応がとれてからの公開となる。受理からJVNでの公表までに要した日数は、対策提供までの時間と相関している。図3から、受理件数の36%が、受理から45日以内に公表されているが、100日以上かかるケースが少なくないことがわかる。

図3 ソフトウェア製品の脆弱性公表日数
図3 ソフトウェア製品の脆弱性公表日数
※「ソフトウェア等の脆弱性関連情報に関する届出状況 [2011 年第2 四半期(4 月〜6 月)]」より
提供:IPA

 ゼロデイ攻撃が行われたことが発覚した場合のベンダ側の動きは速く、ターゲットとなった脆弱性は1週間〜1ヵ月で対策用のパッチ提供が行われている。ときにはパッチ提供前に、回避策として設定変更などの手段がある場合には、それを公表するケースもある。しかし、攻撃が発覚していない場合や、攻撃がごく少数である場合などでは対応の速さがベンダによってまちまちだ。場合によっては長期間にわたって放置されていることもある。

セキュリティ情報局にご登録頂いた方限定で「ゼロデイ攻撃の手口と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ゼロデイ攻撃/ゼロデイ攻撃の手口と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ゼロデイ攻撃」関連情報をランダムに表示しています。

ゼロデイ攻撃」関連の製品

Microsoft Exchange Online 【ソフトバンク コマース&サービス】 そのバックアップ、ランサムウェア対策になっていますか? 【アクロニス・ジャパン】 今更聞けない「従来型エンドポイントセキュリティ」には何が足りなかったのか? 【シマンテック】
電子メール バックアップツール アンチウイルス
Microsoft Exchange Serverの機能をクラウドベースのサービスとして提供するホスト型のメッセージングソリューション。 ランサムウェアは対岸の火事ではない。国内でも多くの企業が被害に遭い、一時的に事業を停止せざるを得ない状況に追いこまれた。重要なのは「やられる前」の体制作りだ。 サイバー攻撃の高度化と巧妙化から、従来型の対策には限界が見えてきた。多層防御の強化は続けつつ、感染に備えた事後対応も用意したい。どう両立すればよいだろうか。

ゼロデイ攻撃」関連の特集


 今回もシグネチャ型、シグネチャレス型の多層防御により標的型攻撃対策を実施している事例を紹介する。



高度化するウイルスや外部からのアタックに対抗するための、統合されたセキュリティ対策「UTMアプライア…



ますます高度化・複雑化するサイバー攻撃に対し、自社だけのセキュリティ対応に限界を感じているところも多…


ゼロデイ攻撃」関連のセミナー

AIアンチウイルスCylancePROTECT(R)徹底解説セミナー 【テクマトリックス】  

開催日 8月9日(水)   開催地 東京都   参加費 無料

6月に開催されたInterop Tokyo 2017で、約3000人が目の当たりにしたAIアンチウイルスCylancePROTECTと既存アンチウイルスの検知比…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004386


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ