ゼロデイエクスプロイトと脆弱性とは何ですか?
おそらく「ゼロデイ」という表現を聞いたことがあるでしょう。この用語は当初、ファイル共有の初期に海賊版メディア (音楽、映画、ソフトウェア、ゲーム) を表すために造られました。海賊版メディアは、正式リリースと同日またはその前に利用可能になった場合、「ゼロデイ」と呼ばれました。公開されていますゼロデイ正式リリースされてから。
しかし、それは当時のことであり、これは今です。今日、「ゼロデイ」という表現はソフトウェアの脆弱性とエクスプロイトを指します。 IT の世界では、ゼロデイ脆弱性とは、一般の人やベンダーが気づいていないソフトウェアのバグのことです。 「ゼロデイ」という表現は、利用可能なパッチが存在しない既知の脆弱性に適用することもできます。
ゼロデイエクスプロイトとは、簡単に言えば、ゼロデイ脆弱性を悪用してユーザー、システム、アプリ、ネットワークなどを侵害する攻撃のことです。そして、ベンダーがそれに気づくまでに、彼らはゼロデイでそれを修正する必要があります。すでに積極的に悪用されています。
ゼロデイエクスプロイトはどのように機能するのでしょうか?
- ベンダーが開発したソフトウェア製品 (オペレーティング システム、アプリケーション、ライブラリなど) には、プログラミング エラーや見落としにより、その時点では気付かないうちに脆弱なコードが含まれています。
- この脆弱性はベンダーによって不明であるか、脆弱性を軽減するための最新のパッチが存在しません。
- 悪意のある攻撃者はさまざまな組織のネットワークや Web サイトなどをスキャンし、最終的に脆弱性を発見します。次に、それを利用するエクスプロイトを作成します。
- このエクスプロイトを使用して、組織 (ネットワーク、サーバー、Web サイト、Web アプリなど) に対して攻撃が仕掛けられます。攻撃の結果は、ほぼあらゆるものになる可能性があります (サービス拒否、サーバーの乗っ取り、資格情報の漏洩など)。
- 脆弱性は公開されていますが、ベンダーは攻撃が密告されたものであるか、単に脆弱性にパッチを適用する方法をまだ知らないため、攻撃を軽減するための猶予期間はゼロ日です。
- 攻撃が次の方法で行われた場合 マルウェア 、 ウイルス対策 署名は通常、開示が行われてから数日後に公開されます。
- エクスプロイトの複雑さに応じて、数日または数週間後、セキュリティ パッチがリリースされます。
組織が自社のコードにゼロデイ脆弱性があることに気づくまでには何年もかかる場合があること、あるいはさらに悪いことに、ゼロデイ攻撃の被害に遭ったのにそれに気づいていなかったことに気づくまでに何年もかかることがあるということを念頭に置いてください。
ゼロデイエクスプロイトのターゲットは何ですか?
ゼロデイ脆弱性は、コーディングされたあらゆるもの (ソフトウェア) と、そのコードをサポートするコンポーネント (ハードウェア) で見つかる可能性があります。コンピューターに似たもの (正直に言うと、今日コンピューターではないものは何ですか?) にはゼロデイが含まれる可能性があります。
ゼロデイ攻撃は、次のようなさまざまなシステムの脆弱性を悪用する可能性があります。
- ウェブブラウザ
- オペレーティングシステム
- アプリケーション
- オープンソースコンポーネント
- コンピューターハードウェア
- ルーター
- デバイスのファームウェア
- モノのインターネット (IoT) デバイス
- 今では自動車でも
IoT デバイスは、通常、ユーザーによるアクセスや制御が最小限しかないため、特に問題が発生します。 IoT デバイスのユーザーは、ファームウェアのアップデートやセキュリティ パッチの発行をベンダーに依存する必要があります。これらのデバイス (コネクテッド カーを含む) を使用して自分でできることはあまりありません。
消費者向けルーターも同じ問題に直面しています。これらの既製のデバイスは、数十年とは言わないまでも、何年も使用される傾向があり、これらのデバイス用のソフトウェア パッチは非常にまれです。多くのベンダーは、既存のデバイスのセキュリティを確保することに時間とリソースを費やすよりも、むしろ次世代モデルの製造と販売に集中したいと考えています。
注目すべきゼロデイ攻撃
グーグルクローム
2021 年 12 月、Google の Chrome ブラウザが一連のゼロデイ エクスプロイトに対して脆弱であることが判明しました。 Googleがすぐに 発行されたアップデート 、発見した脆弱性の性質については明らかにしなかった。これは、ユーザーが更新する前に、それらがさらに悪用されるのを防ぐためでした。それにもかかわらず、この脆弱性は Chrome ブラウザで使用される V8 JavaScript エンジンのバグに起因することが明らかになりました。
アップルのiOS
2021年5月には、 AppleのiOSとiPadOS 2 つのゼロデイ エクスプロイトに対して脆弱であることが明らかになりました。どちらの脆弱性も、オペレーティング システムのブラウザ エンジンである Webkit に影響を与えました。 Webkit は、プラットフォーム上で実行される Web ブラウザのデフォルトのバックエンドです。したがって、サードパーティのブラウザも影響を受けました。このエクスプロイトにより、悪意を持って作成された Web コンテンツを処理した後、デバイス上で任意のコードが実行される可能性がありました。これは、Apple の悪意のある URL の言い方です。その後、両方の脆弱性はパッチされました。
ズーム
2020 年 4 月にゼロデイ脆弱性が発見されました。 ズーム の人気のあるビデオ会議プラットフォーム。この脆弱性は、PC と Mac の両方の Zoom ソフトウェアに影響を与えました。攻撃者は、アプリケーションの組み込みチャット機能を通じて送信された悪意のある URL をクリックしたユーザーのマシンにコードを挿入しました。 Zoom は、公開から数日後にこの脆弱性を修正するアップデートを発行しました。
マイクロソフトウィンドウズ
2019年には、 マイクロソフトウィンドウズ ゼロデイ権限昇格攻撃に対して脆弱であることが判明しました。標的となったのは東ヨーロッパのさまざまな政府機関だった。このゼロデイ脆弱性はフィッシング攻撃によって悪用されました。何も知らないユーザーが悪意のあるリンクや添付ファイルをクリックした場合、攻撃者はユーザーのマシンを侵害し、そのローカル権限を昇格させる可能性があります。これにより、攻撃者は任意のコードを実行し、アプリケーションをインストールし、侵害されたアプリケーション内のデータを変更することが可能になりました。 Microsoft は脆弱性が公開された後、すぐにセキュリティ パッチを公開しました。
マイクロソフトワード
2017 年には、 マイクロソフトワード ゼロデイ脆弱性が悪用され、被害者のマシンに Dridex バンキング トロイの木馬がダウンロードされました。 Microsoft Word のユーザーが悪意を持って作成された文書を開くと、文書を適切に表示するために「リモート コンテンツをロードする」ように求めるプロンプトが表示されました。ユーザーがリモート コンテンツを許可するボタンをクリックすると、バンキング トロイの木馬のダウンロードがトリガーされます。 Dridex をインストールすると、ファイルの削除や独自の仮想ネットワークの設定など、さまざまなことができるようになります。もう 1 つの手口は、Web ブラウザに侵入し、ユーザーがオンライン バンキングの Web ページまたはアプリケーションを使用していることを検出し、マルウェアまたはキー ロギング ソフトウェアを挿入してユーザーのログイン資格情報を盗む機能でした。
スタックスネット
そして忘れないようにしましょう スタックスネット : ゼロデイ攻撃の最も有名な例の 1 つ。 Stuxnet は 2010 年に初めて発見され、イランの核開発計画を脱線させる目的で同国のウラン濃縮工場を標的にしていることが判明しました。 Stuxnet は当初 USB サム ドライブで発見され、すぐに Microsoft Windows コンピュータに広まりました。 Stuxnet マルウェアは、シーメンスの Step 7 ソフトウェアを使用するプログラマブル ロジック コントローラー (PLC) ソフトウェアを実行しているコンピューターを標的としていました。ステップ 7 は、電気機械装置を自動化および監視するための PLC として機能する産業用コンピュータによって使用されます。ステップ 7 を実行している Windows マシンが見つかると、Stuxnet は PC によって制御されている電気機械装置に有害な命令の送信を開始します。また、Stuxnet は、それが起こっているときに誤ったフィードバックをメイン コントローラーに送り返します。装置を監視していた人々は、装置が自爆し始めるまで、何かがおかしいとは思いませんでした。
ゼロデイ攻撃を検出する方法
ゼロデイ脆弱性の性質上、手遅れになってから(つまり、すでに悪用されてから)検出されることを意味します。定義上、攻撃を防ぐことはできませんが、応答時間を短縮するためにできることがいくつかあります。
- インターネットトラフィックをスキャンして疑わしいパターンを特定する
- ネットワーク経由で受信したファイルのコードを調べる
- マルウェアのスキャン
繰り返しますが、これによってゼロデイ攻撃を防ぐことはできませんが、応答時間を短縮することで、そのような攻撃が発生した場合の被害を大幅に軽減できます。
ゼロデイ攻撃を防ぐ方法
ゼロデイ エクスプロイトの主な特徴は、特定の種類の攻撃であるというよりも、未知である (または既知だが現時点ではパッチが適用できない) ことです。そのため、ゼロデイ攻撃を防御するには、対象を絞った対策ではなく、一般的な対策で幅広い網を張る必要があります。ゼロデイ攻撃を回避できる確率をより有利に偏らせる方法は次のとおりです。ただし、ここでは 100% のものはないということを覚えておいてください。
組織向け
- ソフトウェアを最新の状態に保つ – 組織内やネットワーク上で使用しているソフトウェアは常に最新バージョンを使用していることを確認してください。最新バージョンを実行すると、最新のセキュリティ パッチが確実にインストールされ、防御が最適化されます。ソフトウェアのアップデートには多くのバグ修正も含まれており、ソフトウェアのバグが少ないほど、ゼロデイ攻撃から安全になります。
- 使用するアプリケーションの数を制限する – 使用するアプリケーションが増えるほど、攻撃対象領域が大きくなります。実際に必要で使用するソフトウェア パッケージのみをインストールしてください。新しいアプリをインストールするたびに潜在的なバグが伴い、そのうちの 1 つ (または複数) が悪用される可能性が高くなります。システムがスリムであればあるほど、安全性は高まります。
- 侵入テストを実行し、バグ報奨金プログラムを設定する – 社内で実行することで時代の先を行くことができます 侵入テスト バグ報奨金プログラムもあります。インフラストラクチャで侵入テストを実行すると、次のゼロデイ脆弱性を発見できる可能性があります。また、バグ報奨金プログラムでは、ホワイトハッカーを動員してバグを見つけてもらうことができます。これらのいずれかを実践すれば、ゼロデイ攻撃から身を守ることができます。必ず両方を行ってください。
- ファイアウォールを使用する – ファイアウォールを使用すると、プロトコル、ポート、MIME タイプなど、ほぼすべての関連基準に従って不審なアクティビティを監視およびブロックできます。不審なトラフィックを監視およびブロックすると、インフラストラクチャの一部が攻撃されていた場合でも、ゼロデイ攻撃から身を守ることができます。脆弱。
- ゼロデイエクスプロイトについて組織を教育する – 組織内の関係者がゼロデイ エクスプロイトの脅威を認識していることを確認します。コーディングや QA の実行などでゼロデイを念頭に置くためのトレーニングをスタッフに提供します。
- ゼロデイ緊急時対応計画を立てる – ゼロデイ攻撃の被害に遭わないことを祈ります。しかし、そうする場合は、何をすべきかを考えて走り回るよりも、計画を立て、どのように反応し、何をシャットダウンするかを知っておく方が、間違いなくうまくいくでしょう。備えをしておくことはボーイスカウトのアドバイスのように聞こえるかもしれませんが、緊急事態ではそれが大きな違いを生む可能性があります。
- ウイルス対策ソフトウェアを使用する – 技術的には、アンチウイルスは未知の脆弱性を検出しませんが、一部のゼロデイ エクスプロイトは他のエクスプロイトに便乗するため、アンチウイルスが依然として役立つ可能性があります。また、特定のエクスプロイトは、既存のエクスプロイトを変更することによって作成されており、アンチウイルスによって検出されるほど元のエクスプロイトによく似ている可能性があります。もちろん、これが保証されるわけではありませんが、これは確率ゲームです。オッズをできるだけ自分に有利なものにしたいと考えます。
個人向け
- ファイアウォールを使用する – すべての主要なオペレーティング システムには、組み込みの受信機能が備わっています。 ファイアウォール 、すべての市販の市販ルーターには、 NATファイアウォール 。必ず有効にしてください。
- ポップアップは決してクリックしないでください - 一度もない。
- ブラウザに警告が表示された場合 アクセスしようとしている Web サイトについて注意して、必要な情報を他の場所で見つけてください。
- 海賊版ソフトウェアは絶対にダウンロードしないでください – 誰もが無料の製品を好みますが、海賊版ソフトウェアをアップロードする人は通常、システムを侵害したり、他の悪意のある者に情報を販売したりして、お金を儲けようとしていることに注意してください。
- 評価の高い正規のセキュリティ ソフトウェアのみを購入する 正規のベンダーから。
- 送信者を信頼できる場合にのみ電子メールの添付ファイルを開きます そして、その身元を確認することができます。ウイルスはメールに混入することがあります。そのため、受信メールを常にウイルス対策プログラムでスキャンする必要があります。
- アプリケーションを常に最新の状態に保ちます – マルウェアやウイルスは、古いソフトウェアにあるセキュリティ上の欠陥を悪用することがよくあります。
- コンピュータのバックアップを定期的に作成する – 定期的なバックアップにより、マシンが感染した場合でもファイルを回復できます。
- 情報提供を求めるメールを受け取った場合 あなたと関係のある公的機関からのものであると主張する場合は、何かをする前によく読んでください。スペルや文法の間違いはありますか?緊迫感はありますか?これらはフィッシング行為の典型的な兆候です。また、銀行や政府が機密情報を電子メールで送信するよう要求することは決してないことを常に覚えておいてください。
- メール内のリンク(URL)をクリックしないでください 送信者とリンク先が正確にわかっていない限り。また、リンク先もよく調べてください。 HTTP リンクですか、それとも HTTPS リンクですか?現在、ほとんどの正規サイトは HTTPS を使用しています。リンクにスペルミスはありますか (Google ではなく Google)?リンクを使用せずに目的地にアクセスできる場合は、リンクを使用することを強くお勧めします。
まとめ
これで完了です。ゼロデイ脆弱性やエクスプロイトは厄介な問題です。また、これらは定義上未知であるため (または既知だが現時点ではパッチが適用できないため)、具体的に防御することはできないため、上記のような一般的なセキュリティ慣行に頼る必要があります。 100% 保護してくれるわけではありませんが、組織が攻撃の犠牲になる可能性は確実に減ります。そして、上に挙げた実践はすべて、とにかく実行すべきことです。
おげんきで。