ゼロデイ脆弱性:事例、検出、そして防止
見えない脅威、ゼロデイ
2024年5月25日
著者: Ahona Rudra
翻訳: 岩瀨 彩江
この記事はPowerDMARCのブログ記事 Zero Day Vulnerability: Examples, Detection, and Prevention の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
重要なポイント
- ゼロデイ脆弱性とは、ベンダーが修正する前に攻撃者に悪用される、未知で未修正の欠陥のことです。
- 攻撃はライフサイクルに従い、脆弱性の発見とエクスプロイトの開発から、配布と実行に至ります。
- 検出には、脆弱性スキャン、パフォーマンス監視、ユーザからの報告など、多様な方法が必要です。
- 政府、金融、IT組織のような価値の高い標的は頻繁に攻撃されますが、貴重なデータを保有するあらゆる組織がリスクにさらされています。
- 防止には、迅速なパッチ適用、堅牢なセキュリティソフトウェア、ユーザアクセス制御、そして積極的な脅威ハンティングが含まれます。
あなたのソフトウェアの内部に潜む影を想像してください。
それは基盤にある目に見えないひび割れであり、存在に誰も気づく前に引き起こされる準備ができています。
それこそがゼロデイ脆弱性の真の危険です。
プロトコル、ソフトウェア、またはアプリケーションに存在する、以前は知られていなかった欠陥であり、防御する時間を与えません。
定義上、パッチも警告も存在しません。
ハッカーは開発者やユーザが気づかない間に、それらを実際の環境で悪用し、未知を武器へと変えてしまうのです。
Google の脅威インテリジェンスグループによると、2024 年には攻撃者が 75 件のゼロデイ脆弱性を悪用しました。
これは 2023 年の 98 件から減少したものの、2022 年に報告された 63 件と比べると依然として大幅に多い数です。
注目すべきは、そのゼロデイの 44%がエンタープライズプラットフォームを標的にしており、2023 年の 37% から増加している点です。
さらに、エンタープライズ関連のゼロデイのほぼ 3 分の 2 が、セキュリティ製品およびネットワーク製品を狙ったものでした。
一方で、ブラウザやモバイルデバイスの悪用は急激に減少しました。
ブラウザのゼロデイはおよそ 3 分の 1 減少し、モバイルは前年比でほぼ半減しました。
では、ゼロデイ脆弱性とは一体何なのでしょうか?
このガイドでは、その答えを学ぶことができます。
ぜひ読み進めてください!
ゼロデイ脆弱性とは何か?
ゼロデイ脆弱性とは、ソフトウェア、ハードウェア、またはプロトコルに存在する、開発者によってまだ発見も修正もされていない隠れた欠陥のことです。
修正が存在しないため、攻撃者にはその脆弱性が公に知られる前に悪用できる「ゼロデイ」の猶予期間が与えられます。
これらのエクスプロイトはしばしば悪意のあるコードと一緒に仕込まれ、ゼロデイ攻撃や day-0 エクスプロイトと呼ばれることもあります。
ゼロデイ脆弱性が危険なのは、攻撃者に優位性を与えるからです。
組織はその欠陥に気づいておらず、セキュリティアップデートも存在せず、従来型の防御では脅威を検知できない可能性があります。
ゼロデイ脆弱性、ゼロデイエクスプロイト、ゼロデイ攻撃という用語は、しばしば同じ意味で使われますが、実際には同じものを指しているわけではありません。
それぞれはセキュリティ欠陥のライフサイクルにおける異なる段階を表しています。
隠れた弱点そのものから、それを利用するためのツール、そして実際に被害をもたらす現実の攻撃に至るまでを示しているのです。
- ゼロデイ脆弱性
- システム内に存在する、まだ発見されていない欠陥。
- ゼロデイエクスプロイト
- その欠陥を悪用するためにハッカーが用いる手法やコード。
- ゼロデイ攻撃
- エクスプロイトを使って実際に行われるサイバー攻撃。
一度脆弱性が発見されて修正されると、それはもはやゼロデイとは見なされません。
主な事例
ゼロデイ脆弱性は、歴史上最も深刻なサイバー攻撃の背後に存在してきました。
これらの欠陥はしばしば何年も気づかれず、修正が提供される前に攻撃者にデータを盗み出し、サービスを妨害し、またはマルウェアを仕込むための重要な機会を与えます。
以下にいくつかの注目すべき事例を示します。
- Heartbleed (2014)
- OpenSSL の欠陥により、攻撃者がサーバメモリから秘密鍵などの機密データを直接盗み取ることが可能になりました。
- Shellshock (2014)
- Bash シェルの脆弱性により、リモートの攻撃者が Linux や macOS システム上で任意のコマンドを実行できました。
- Equifax 情報漏洩 (2017)
- ハッカーが Apache Struts の脆弱性を悪用し、社会保障番号を含む 1 億 4,500 万人のデータを盗み出しました。
- WannaCry (2017)
- Windows SMB の欠陥(EternalBlue)を利用したランサムウェアワームで、世界中で 30 万以上のシステムに感染しました。
- 病院へのマルウェア攻撃
- Hollywood Presbyterian Medical Center などの医療機関が、ランサムウェアやフィッシング攻撃を受けました。これらはしばしばゼロデイエクスプロイトによって引き起こされました。
一般的な標的
ゼロデイエクスプロイトは、攻撃者に利益をもたらす可能性のある個人や組織を標的にすることがあります。
一般的な標的には、次のようなものがあります。
- 価値の高い標的には、政府機関、金融機関、および医療機関が含まれます。
- サイバーセキュリティが不十分な企業も標的になります。
- 氏名、連絡先、金融情報、住所、社会保障番号、医療情報などの利用者データを記録する企業です。
- 機密データを扱う企業です。
- 顧客向けのソフトウェアやハードウェアを開発する企業です。
- 防衛分野に携わる企業です。
このような戦略的な標的選定は、攻撃の継続期間を長引かせ、被害者が脆弱性を発見する可能性を低下させることがあります。
例えば、クラウドコンピューティング大手のRackspaceは、ゼロデイエクスプロイトを悪用したランサムウェア攻撃によりハッカーが27人の顧客の個人データにアクセスしたと公表しました。
ゼロデイ脆弱性はなぜそれほど危険なのか?
ゼロデイ脆弱性が特に危険なのは、それが「発見」と「防御」の間の隙間に存在するからです。
この段階では、その欠陥はソフトウェアベンダには知られておらず、セキュリティシステムでも検知されず、利用者によっても修正されていません。
そのため、防御が整う前に攻撃者が仕掛ける絶好の機会となります。
ゼロデイエクスプロイトの主な危険性
- パッチが存在しない
-
欠陥が未発見であるため、ベンダは修正を提供していません。
その結果、パッチが開発されて適用されるまで組織は脆弱な状態に置かれます。 - 成功の可能性が高い
-
従来の防御手段であるアンチウイルスや侵入検知は、既知の脅威のシグネチャに依存しています。
ゼロデイはこれらを回避し、攻撃者にシステム内部への直接的な経路を与えます。 - 受動的防御 vs. 能動的防御
-
防御側はゼロデイが存在することを、実際に悪用されるまで知らないことが多いです。
その時にはすでに、攻撃者がデータを盗み出し、マルウェアを仕込み、業務を妨害している可能性があります。 - ハッカーにとっての戦略的価値
- 高度なサイバー犯罪グループは、政府、企業、重要インフラといった価値の高い標的に対して最大限の被害を与えるために、ゼロデイを温存して利用することがあります。
これらの特性のため、ゼロデイエクスプロイトはしばしばデータ漏洩、金銭的損失、信用失墜、そして長期的な復旧時間を引き起こします。
危険なのは、防御側には事前の準備時間がなく、対応競争は攻撃がすでに進行してから始まるという点にあります。
ゼロデイエクスプロイトのライフサイクルについて説明します。
ゼロデイエクスプロイトは一夜にして現れるものではありません。
これはライフサイクルに従って進行するプロセスであり、防御側が追いつくまでに攻撃者がその欠陥を武器化できる期間を決定します。
各段階は、攻撃者とセキュリティチームの間で力の均衡が変化する重要な時点を表しています。
段階1:発見
ライフサイクルは、欠陥が最初に発見されたときに始まります。
これは主に次の2つの方法で起こります。
- 悪意のある発見
-
脅威アクターは、ソフトウェア、ハードウェア、またはプロトコルを積極的にスキャン・検査し、弱点を探します。
彼らはファジングツール、リバースエンジニアリング、総当たり攻撃などを用いて、予期しない挙動を引き起こすことがあります。 - 善意の発見
- セキュリティ研究者や倫理的ハッカーが、監査、ペネトレーションテスト、またはバグ報奨金プログラムを通じて脆弱性を発見します。
この時点で、発見者は次の行動を起こします。
- ベンダーに責任を持って報告し、修正が開発されるようにします。
- 個人的な利益や破壊を目的として直接悪用します。
- ダークウェブのマーケットプレイスで脆弱性を販売しますが、ゼロデイは標的(例:iOS、エンタープライズソフトウェア、重要インフラ)によっては数十万ドル、あるいは数百万ドルに達することがあります。
段階2:エクスプロイトの作成
欠陥が明らかになると、攻撃者はその脆弱性を突くために設計された悪意あるコード、すなわちエクスプロイトの作成を開始します。
これは武器化の段階です。
- エクスプロイトは、コードを注入したり、セキュリティチェックを回避したり、不正なコマンドを実行したりして、その欠陥を正確に狙うように作成されます。
- より高度な攻撃者は、複数のゼロデイを連鎖させて多層的な攻撃を行い、影響を大幅に増大させることがあります。
この段階では、脆弱性は未知のバグから実運用上の脅威へと変化しています。
段階3:侵入
エクスプロイトが準備できると、攻撃者はそれを標的環境に届ける方法を確保する必要があります。
一般的な配布経路には次のものが含まれます。
- 感染した添付ファイルや悪意あるリンクを含むフィッシング、および標的型フィッシングのメールです。
- 改ざんされたWebサイトでのドライブバイダウンロードで、ページを訪れるだけでエクスプロイトが実行されます。
- 正規に見えるアプリケーションに隠れたエクスプロイトが組み込まれたトロイ化されたソフトウェアや更新プログラムです。
- リムーバブルメディア(USBドライブ等)で、特にエアギャップされたシステムを狙った標的型攻撃で使用されます。
侵入段階では、エクスプロイトが多数を対象とした大規模キャンペーンに到達するか、特定の高価値標的(諜報活動や破壊工作)を狙うかが決まります。
段階4:悪用と実行
一度配布されると、エクスプロイトは標的システム上で実行されます。
ここで攻撃が可視化されますが、多くの場合で手遅れになります。
攻撃者の意図によって、エクスプロイトは次のような行為を行うことがあります。
- マルウェアやランサムウェアをインストールしてファイルを暗号化し、身代金を要求します。
- 永続的なリモートアクセスのためにバックドアを作成します。
- 特権を昇格させ、攻撃者にシステムの完全な制御を与えます。
- 知的財産、財務記録、個人情報などの機密データを窃取します。
- サービス拒否やシステム操作によって業務を妨害します。
この時点で、ゼロデイエクスプロイトは実際に被害を引き起こしていることになります。
ゼロデイ脆弱性を検出する方法はどのようなものですか?
ゼロデイ脆弱性の検出は、サイバーセキュリティにおいて最も複雑な課題の一つです。
定義上、これらの欠陥はベンダに知られておらず、従来のセキュリティツールでも検出できないためです。
検出には一般的に2つのアプローチがあります。
- 能動的発見
- 組織が積極的に隠れた欠陥を探索し、悪用される前に見つけ出す方法です。
- 受動的検出
- 防御側が、不審な活動や進行中の攻撃の証拠を特定する方法です。
能動的発見
能動的手法は、攻撃者が脆弱性を武器化する前にそれを発見することを目的としています。
- ファジング
- ソフトウェアに予期しない入力やランダムな入力を与え、クラッシュや異常動作を引き起こし、未知の欠陥を明らかにします。
- 異常ベースのスキャン
- 高度なスキャンツールを使用し、想定される挙動と一致しない異常なパターンやシステム応答を検出します。
- リバースエンジニアリング
- ソフトウェアやマルウェアのコードを解析し、隠れた脆弱性を発見したり、エクスプロイトの仕組みを理解したりします。
受動的検出
ゼロデイが能動的対策をすり抜けた場合、受動的手法によって、悪用が始まった後にそれを発見することができます。
- 行動ベースの監視
- 説明のつかないトラフィックの急増、権限の昇格、プロセスの異常など、悪用を示す可能性のあるシステムやネットワークの不審な活動を追跡します。
- レトロハンティング
- 過去のログや脅威インテリジェンスデータを調査し、以前にゼロデイエクスプロイトが活動していた兆候を特定します。
- ユーザ報告の分析
- 頻繁なクラッシュや異常なエラーなど、未発見の欠陥が悪用されている可能性を示すユーザからの報告を収集・調査します。
ゼロデイエクスプロイトを防ぐ方法
ゼロデイ攻撃はその性質上、完全に防ぐことは不可能ですが、いくつかのベストプラクティスを実践することでリスクと影響を大幅に軽減できます。
- ソフトウェアとシステムを最新に保つ
-
パッチや更新を迅速に適用してください。
これ自体はゼロデイ攻撃を防ぐものではありません(パッチはまだ存在しないため)が、攻撃者がゼロデイエクスプロイトと組み合わせて利用する可能性のある既知の脆弱性を塞ぐことができます。
また、更新版には悪用される可能性のある小さなバグの修正も含まれています。 - 包括的なセキュリティソフトウェアを使用する
-
次世代アンチウイルス(NGAV)、エンドポイント検知・対応(EDR)、ファイアウォール、侵入防止システム(IPS)など、多層的なセキュリティソリューションを導入してください。
これらのツールはしばしば振る舞いベースの検知やヒューリスティックを利用しており、特定のシグネチャがなくてもゼロデイエクスプロイトの活動を検知または阻止できる場合があります。 - ユーザアクセスと権限を制限する
-
最小権限の原則を実装してください。
ユーザ権限を制限することで、ゼロデイエクスプロイトによってアカウントが侵害された場合でも、攻撃者のアクセス範囲や潜在的な被害を抑えることができます。
アプリケーションの実行を制御するために、許可リスト(allowlisting)やブロックリスト(blocklisting)を活用してください。 - ネットワークの分割
-
ネットワークをより小さく分離されたセグメントに分割してください。
これにより、ゼロデイエクスプロイトによって持ち込まれたマルウェアの拡散を抑え、攻撃の範囲を制限できます。 - Webアプリケーションファイアウォール(WAF)
- 外部に公開されているアプリケーションに対して、WAFは悪意あるHTTP/Sトラフィックをフィルタリング、監視、遮断することができ、Webベースのゼロデイエクスプロイトを軽減できる可能性があります。
- 定期的なバックアップ
-
重要なデータのバックアップを定期的に取得し、復元が可能であることを検証してください。
これは攻撃を防ぐものではありませんが、特にゼロデイエクスプロイトを通じて展開されるランサムウェアからの復旧において極めて重要です。 - セキュリティ意識向上トレーニング
- ユーザに対し、フィッシングやソーシャルエンジニアリング、そして安全なブラウジング習慣について教育を行い、エクスプロイトが成功裏に配布される可能性を減らします。
まとめ
ゼロデイ脆弱性は、サイバーセキュリティにおける最も危険な脅威の一つです。
それは、まだ誰にも知られていない欠陥を悪用するため、組織にはパッチも防御策も警告も存在しません。
発見から悪用に至るまで、攻撃者が優位に立ち、従来のセキュリティツールはしばしば十分に機能しないのです。
このリスクを軽減する鍵は、多層的かつ能動的な防御にあります。
脆弱性の発見、リアルタイム監視、脅威インテリジェンス、迅速なパッチ管理を組み合わせることが重要です。
単一のソリューションですべてのゼロデイエクスプロイトを防ぐことはできませんが、強固なセキュリティ体制を築くことで、被害の可能性を大幅に減らし、回復力を高めることができます。
フィッシング、なりすまし、偽装といったメールを利用したゼロデイ脅威から組織を守りましょう。
DMARC、SPF、DKIMを用いてメールドメインを保護する方法については、今すぐ PowerDMARC にお問い合わせください。
よくある質問
- ゼロデイ脆弱性を発見するのは誰ですか?
- それは、ハッカー、セキュリティ研究者、さらには国家に支援されたグループによって発見されることがあります。
- ゼロデイ脆弱性はいくつ存在しますか?
- 正確な数は不明ですが、Googleは2024年に75件、2023年に98件、2022年に63件を記録しています