ゼロデイ脆弱性とは

ゼロデイ脆弱性は、ソフトウェア、ファームウェア、またはハードウェアの未知のセキュリティ上の欠陥またはバグで、ベンダーが知らないか、脆弱性に対処するための公式のパッチやアップデートがありません。多くの場合、ベンダーやユーザーは、研究者から報告されたり、攻撃の結果として発見されない限り、脆弱性の存在に気づきません。

‍

ゼロデイ攻撃とは

\ 悪意のある攻撃者が開発と展開に成功した場合マルウェアゼロデイ脆弱性を悪用すると、そのマルウェアはゼロデイ攻撃になります。この脆弱性を悪用した結果、攻撃者は機密データや重要なシステムに不正にアクセスすることになります。

‍

ゼロデイエクスプロイトとは

ゼロデイエクスプロイトとは、攻撃者が脆弱性のあるシステムを攻撃するために使用する手法です。研究者はエクスプロイトを利用して、欠陥を「悪用」して不正アクセスを得たり、基盤となるシステムを侵害したりした場合の影響を実証しています。

ゼロデイエクスプロイトという名前がついたのは、公開されてからゼロ日間になるからです。悪意のある攻撃者がエクスプロイトを作成し、戦略的に使用するのを待っている可能性があります。この場合、攻撃者はエクスプロイトを知っていてもまだ公開されておらず、まだゼロデイエクスプロイトと見なされています。

Ponemon Instituteによると、成功した侵害の80％はゼロデイ攻撃でした。

‍

ゼロデイエクスプロイトの脅威

エクスプロイトに関するデータは通常、攻撃が完了した後にのみ分析できるため、エクスプロイトからの防御は非常に困難です。これらの攻撃は、ポリモーフィックワーム、ウイルス、トロイの木馬、その他のマルウェアの形をとることがあります。

脆弱性が公開され、研究者が解決策を発見したり、ベンダーがパッチを適用したりすると、その脆弱性は「ゼロデイエクスプロイト」ではなく、既知の脆弱性または「今日の」脆弱性になります。

‍

ゼロデイエクスプロイトは攻撃でどのように使用されますか?

これらは、攻撃を開始して実行するための複数の悪用方法です。一般的な手法の例としては、次のようなものがあります。

• ソーシャルエンジニアリングによるスピアフィッシング。この手法は、脅威アクター (通常は国家) が、特定の (通常は上位の) 個人をターゲットにして、特別に設計された悪質なメールを開封させるために使用します。これらの攻撃者は、悪意のあるメールを送信する前に、ソーシャルメディアでターゲットをストーキングしたり監視したりするのに時間を費やすことがあります。
• 迷惑メールとフィッシング。このシナリオでは、攻撃者は複数の組織にまたがる非常に多くの受信者にメールを送信しますが、そのメールを開封してメッセージに埋め込まれているリンクをクリックするケースはごくわずかです。リンクをクリックすると、悪意のあるペイロードがダウンロードされるか、マルウェアが自動的にダウンロードされるサイトに誘導されます。この手法は、組織化されたサイバー犯罪組織でよく使用されます。
• 悪質な広告や悪質なサイトへのエクスプロイトキットの埋め込みこのシナリオでは、悪意のある攻撃者がウェブサイトを侵害し、訪問者をエクスプロイトキットのサーバーにリダイレクトする悪質なコードを挿入することに成功しました。
• システム、ネットワーク、またはサーバーへの侵害。たとえば、ブルートフォースを適用し、そのエクスプロイトを利用して攻撃を実行する場合などです。

‍

ゼロデイ攻撃の成功例としてよく知られているものにはどのようなものがありますか？

‍

• ハートブリード
• シェルショック
• スタックスネット(複数の脆弱性を悪用したワーム)
• オーロラ(複数の脆弱性を悪用した組織的な攻撃)
• ブルーキープ脆弱性(CVE-2019-0708)

‍

ゼロデイ攻撃からの保護のベストプラクティスはどのようなものですか?

コードのセキュリティを確保するために安全なソフトウェアライフサイクル開発を実践し、潜在的なリスクや脆弱性を最小限に抑えるためにソフトウェアを保護します。

• しっかりした脆弱性管理プログラムとパッチプログラムを用意してください。たとえば、ソフトウェア、特に重要なセキュリティリリースの更新をできるだけ早く行ってください。
• ソーシャルエンジニアリング、フィッシングやスピアフィッシングキャンペーンの認識、悪意のある Web サイトの回避に焦点を当てたサイバーセキュリティ意識向上トレーニングです。
• 境界ファイアウォール、IPS/IDS、その他のデータセンターのセキュリティ制御、およびエンドポイントのセキュリティ制御を含む階層型セキュリティ制御を導入します。
• 申請中マイクロセグメンテーション特に価値の高いシステムでは、権限を最小限に抑えることで、攻撃者がターゲットに到達するのがより困難になり、コストもかさみます。
• 脅威インテリジェンス、ユーザーアクティビティの監査と監視、接続、異常検出。
• よく考え抜かれた災害復旧とバックアップ計画を立ててください。

‍

ゼロデイ攻撃への対応におけるリアルタイムの可視性とマイクロセグメンテーションの役割とは？

ソフトウェアが脆弱であっても、ターゲットに適切に設計されたアクセス制御の問題があった場合、攻撃者は必ずしもその悪用を正常に展開できるとは限りません。

• リアルタイムの可視性により、セキュリティ、IT運用、ネットワーキングの各チームは、通常のトラフィックとアプリケーションの動作をモデル化して理解できます。これにより、新しい接続や異常な接続試行の失敗を検知しやすくなります。 仕事量、これは攻撃の兆候である可能性があります。
• マイクロセグメンテーションは予防的な制御です。マイクロセグメンテーションのデフォルト拒否アプローチでは、 アタックサーフェス。これにより、エクスプロイトの攻撃経路が制限され、悪意のある攻撃者がターゲットのネットワーク内に攻撃を広めることによるコストが高まります。
• マイクロセグメンテーション攻撃が発生した場合の補償コントロールとして。ゼロデイが公開され、パッチが利用できない場合や、パッチの適用が運用上不可能な場合、組織はプロセスレベルのセグメンテーションを使用して、ワークロード間、およびワークロードとユーザー間のトラフィックを特定のポート、プロトコル、サービスのみにロックダウンできます。