Acronis
Acronis Cyber Protect Cloud
サービスプロバイダー向け

ゼロデイ脅威とは、システムを保護するために割り当てられたソフトウェアベンダーやアンチウィルスソフトウェアが未知のソフトウェア脆弱性をターゲットとするサイバー攻撃のことです。攻撃者はそのようなゼロデイ脆弱性を特定し、脅威を作成し、それを使用して攻撃を仕掛けます。ゼロデイ攻撃は、新しい脅威に対してまったく防御策がないので、ターゲットネットワークに侵入できる可能性が非常に高くなります。(セキュリティ当事者が脆弱性を掲出してから「ゼロ日」しか経過していないので)

これにより、ゼロデイ攻撃は深刻なセキュリティ脅威になっています。

一般的に、ゼロデイ攻撃は Web ブラウザとメールの添付ファイルを利用して、添付ファイルを開く特定のアプリや Word 、PDF 、Excel 、Flash などの脆弱性を悪用します。ゼロデイマルウェアがシステムに侵入したら、あらゆるターゲットエリアに急速に拡散する可能性があります。

ゼロデイ脆弱性はさまざまな形態で存在します。攻撃者は壊れたアルゴリズム、不十分なパスワードセキュリティ、欠陥のあるウェブアプリケーションファイアーウォール、認証の欠如、保護されていないオープンソースコンポーネントなどを悪用して、SQLインジェクション攻撃を開始します。攻撃が成功すれば、標的となるネットワーク上のより多くのソフトウェアに不正アクセスし、機密情報を盗んだり、データを人質にとって大金を要求したり、ID 窃盗をしたり、会社の OS を破損させたりします。

ゼロデイ脅威の一般的なターゲット

ゼロデイ脆弱性はさまざまな関係者にとって価値があります。だからこそ、組織が脆弱性を発見するために調査員を雇うマーケットが存在しています。「ホワイトマーケット」に加え、悪質なアクターがゼロデイ脆弱性の詳細情報を公に開示せずに取引する「ブラックマーケット」と「グレーマーケット」があります。

ゼロデイ脅威の一般的なターゲットは、大企業、政府官公庁、重要なファイルへのアクセス権のある個人(たとえば知的所有権)、ハードウェアデバイス、IoT 機器、ファームウェア、脆弱なシステムを使用しているホームユーザー(感染したら、ボットネットで一員となる可能性がある)です。時に、政府がゼロデイ脅威を使用して、国家安全保障を脅かす国や組織、個人をターゲットとすることもあります。

ゼロデイ脆弱性とは

一般的に、個人(またはセキュリティチーム)がソフトウェアに潜在的なセキュリティ脆弱性を見つけた時に、ソフトウェアベンダーに通知し、脆弱性を修正するアップデートがリリースされるようにします。

十分な時間があれば、ソフトウェア開発者が問題を修正し、アップデート(またはソフトウェア更新)を配信するので、すべてのソフトウェアユーザーが早急に修正を適用できます。悪質な攻撃者が脆弱性を知って脅威を作成し、攻撃を仕掛けるにはある程度の時間がかかります。その間に、アップデートを用意し、展開されるようになってくれることが望ましいと言えます。

ゼロデイ攻撃の仕組みとは

ソフトウェアプログラムの脆弱性の高いリンクを 最初に発見するのはハッカーである可能性があります。ベンダーやセキュリティチームはまだ脆弱性に気が付いていないので、ターゲット攻撃に対して防御を構築するのに実質的な猶予はありません。そのような脅威に脆弱な企業は、ネットワークを保護するため早期検出手順を開始します。

専任のセキュリティ調査員がソフトウェアベンダーと協力し、ゼロデイ脆弱性の詳細情報を、ある程度の期間公表しないことに通常同意します。

ゼロデイ脆弱性が公になると、「 N デイ」または「ワンデイ」脆弱性と呼ばれます。

ゼロデイ攻撃例

下記は近年ゼロデイ攻撃された例になります。

Stuxnet

悪意あるコンピューターワームがまず、監視およびデータ収集システム(SCADA)のゼロデイ脆弱性を狙い、Windows に侵入しました。Stuxnet は4つの Windows ゼロティ脆弱性を悪用し、破損した USBドライブを通じて拡散しました。この方法で、ネットワーク攻撃を仕掛けることなく、ワームがWindowsと SCADA システムの両方に感染しました。

Stuxnet は、イラン、インドとインドネシアの製造管理に使用されているコンピューターを攻撃しました。第一の標的はイランのウラン濃縮工場だとされています。攻撃は国の核プログラムを妨害するためのものでした。感染後、標的となったコンピューター上のプログラマブルロジックコントローラー(PLC)が組み立てラインの機械に予期しない命令を実行し、核物質の製造に使用される遠心分離機に不具合を引き起こしました。

ソニーゼロデイ攻撃

ソニー・ピクチャーズがゼロデイ脅威の犠牲となったのは2014年末のことでした。この攻撃はソニー・ピクチャーズのネットワークに影響を与え、ファイル共有ウェブサイトの企業データ漏洩を引き起こしました。

漏洩した情報には、今後公開される映画、事業戦略、ソニー幹部の個人メールアドレスが含まれていました。

Adobe Flash Player ゼロデイ攻撃

2016年、Adobe Flash Player で未発見の脆弱性(CVE-2016-4117)を悪用したゼロデイ攻撃が発生しました。2016年はさらに100を超える組織が Microsoft Windows を標的とした権限昇格攻撃を可能にするゼロデイ攻撃(CVE-2016-0167)の影響を受けました。

2011年、悪意のある攻撃者が Adobe Flash Player の未修正の脆弱性を悪用し、RSA セキュリティ企業のネットワークにアクセスしました。攻撃者は、複数の RSA 従業員にメール添付ファイルとしてExcel ファイルを送信しました。Excel ファイルにはゼロデイ脆弱性を悪用する Flash ファイルが埋め込まれていました。

破損した添付ファイルを開くことで、知らないうちに感染したコンピューターを制御するリモート管理ツール「Poison Ivy」をインストールさせてしまっていました。RSA ネットワークに侵入すると、ハッカーは機密情報を検索し、ハッカーの管理する外部サーバーにコピーして転送しました。

後日、盗まれたデータに、重要なワークロードとデバイスを保護するために世界中で使用しされている2要素認証ツール「SecurID」に関する機密情報があったことをRSAは認めました。

Microsoft Officeゼロデイ攻撃

2017年、ゼロデイ脆弱性により「リッチテキスト形式」の Microsoft Officeドキュメントを開くとPowerShell コマンドを実行する Visual Basic スクリプトが実行される可能性があることが明らかになりました。 (CVE-2017-0199)

2017年にあったもう1つのゼロデイ脅威(CVE-2017-0261)は、マルウェア感染をカプセル化された PostScript により可能としました。

オペレーション・オーロラ

2009年、Google、Yahoo、アドビやダウ・ケミカルなどの大手企業が、ゼロデイ脆弱性の標的となり、知的財産(IP)を捜索され盗み取られました。ゼロデイ脆弱性は Internet Explorer と Perforce(Google は Perforce を使用してソースコードを管理していた)にありました。

どのようにゼロデイ攻撃を検出するのか

ゼロデイ攻撃を検出するのは困難です。アンチウィルス対策ソフトウェア、侵入検出システム( IDSes )と侵入予防システム( IPSes )は、今まで存在しなかった脅威を脅威シグネチャとして正確に特定できません。

ゼロデイ脅威の検出方法として最適なのは振る舞い分析による検出です。ネットワークと通信することを認証されたほとんどのアプリはある決まった使い方と動作パターンを示し、これは「通常」動作と見なされます。通常範囲外のネットワークアクセスはゼロデイ脅威を示している可能性があります。

ゼロデイ脅威で攻撃された企業は、予期せぬトラフィックや、サービスやクライアントから不審なスキャン試行を検出します。振る舞い分析に加え、下記からもゼロデイ脅威を検出できます。

  • 既存のマルウェアデータベースとマルウェア振る舞い統計の参照。ただし、これらのデータベースがリアルタイムで更新されていたとしても、ゼロデイ脅威は攻撃者が新たに発見した脆弱性を悪用します。よって、定義からしても既存データベースは、未知の脅威の検出に関しては限定的です。
  • 過去そして現在のシステムアクセスデータに基づき、以前に記録された脅威情報の検出と、安全なシステム動作の基準づくりで、機械学習がますます使用されています。組織がより多くのデータを収集することで、この方法でより確実にゼロデイ脅威を検出できるようになります。

脆弱性の悪用は進化し続けている分野なので、組織やその貴重なビジネスデータを守るために、ハイブリッド検出法が推奨されています。

ゼロデイ脆弱性の脅威から守るには

ゼロデイ脅威は検出が非常に難しく防御は困難です。ソフトウェア脆弱性スキャンツールはマルウェアシグネチャチェッカーを使用して、疑わしいコードと既知のマルウェアシグネチャを比較します。ゼロデイ攻撃がこれまで遭遇したことのないゼロデイ脆弱性を悪用する場合、脆弱性スキャンでは悪意のあるコードを検出してブロックできません。

ゼロデイ攻撃は不明のセキュリティ脆弱性を悪用するため、企業は特定の脅威を事前に知ることができません。それでも、リスクを軽減し、企業を新たな脅威から守る方法がいくつかあります。

VLAN の使用

仮想ローカルエリアネットワーク( VLAN )は特定のネットワークエリアを分離したり、物理または仮想ネットワークセグメントを使用して、企業サーバー間の重要なトラフィックを隔離したりできます。

これにより、攻撃者が企業の防御をかいくぐり、ネットワークへアクセスした場合でも、ビジネスクリティカルなネットワーク領域からデータを盗み出せません。

すべてのシステムを最新に保つ

適切な修正プログラム管理はどんな規模の組織にとっても非常に重要です。

ソフトウェア開発者は潜在的な悪用の脅威を認識かればすぐにセキュリティ修正プログラムを発行します。ゼロデイおよびNデイに関する修正プログラムを即座に適用しても未知のソフトウェア脆弱性は修正されませんが、ゼロデイ攻撃を成功させることはより難しくなります。

ネットワークトラフィックの暗号化を実施

ゼロデイ脅威が発生する前にすべてのセキュリティ脆弱性を検出することは不可能です。ただし、企業は IP セキュリティプロトコル( IPsec )を使用して、重要なネットワークトラフィックに対して暗号化と認証を実施できます。

一方で、データ暗号化されないと、企業ネットワーク上のすべての情報が脆弱になり、ダウンタイムが長くなり、収益に深刻な影響を与える可能性があります。

IPS または IDS の展開

シグネチャベースの IPS および IDS はそれ自体では攻撃を検出し対抗することはできない場合がありまいす。しかし、進行中の攻撃の副次的影響として、疑わしいファイルの受信に対する警告をセキュリティチームに対して出すことが可能です。

NAC の実装

不正なマシンが会社の重要な環境の領域にアクセスし、ネットワーク全体のデバイスを侵害する可能性があります。ネットワークアクセス制御( NAC )は権限のない者のアクセスを拒否し、アクセス権限がある人物のみにかかる領域へのアクセスを許可します。

定期的なチェックと、従業員教育

脆弱性を発見し、攻撃者が悪用する前に脆弱性を解消するため、すべての企業ネットワークを定期的に脆弱性スキャンすることが非常に重要です。

さらに、数多くのゼロデイ脅威が人為的ミスによります。サイバーセキュリティ教育を従業員に行うことで、オンライン上の従業員を守ることができ、ゼロデイ脅威事故やその他の悪意ある脅威を防ぐことができます。

総合的なサイバーセキュリティソリューションの使用

Acronis Cyber Protect Cloud のような専用のサイバーセキュリティソフトウェアは悪意あるアクティビティを検出し、停止、阻止させ、影響を受けたファイルをすばやく復元できます。さらに、Acronis Backup を使用して、リアルタイムでファイルやドキュメントを保護し、重要なソフトウェアの修正プログラム適用を自動化し、複数のフルシステムバックアップを作成し、ゼロデイ攻撃が起こったとしても完全に回復できるようにできます。

アクロニスについて

アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。

アクロニスのその他の情報