CYBER-BRIDGE INC.

menu
セキュリティ

ゼロデイ攻撃の有効な対策について

こんにちは。サイバーブリッジの久保田です。

ゼロデイ攻撃とはソフトウェアの脆弱性を狙った攻撃で、セキュリティベンダの修正プログラム適用前のセキュリティ対策ができていない状態で攻撃にさらされることをさします。

従来のセキュリティソフトでは50%程度しかウイルスを防護することはできないとも言われています。
今回は、どのようにゼロデイウイルスと向き合い、対策をすればよいのかを考えてみたいと思います。

ゼロデイ攻撃

ゼロデイ攻撃とは?

ゼロデイ攻撃とは、サイバー攻撃の中で最も危険といわれており、ソフトウェアにセキュリティ上の脆弱性が発見された時点で、その問題が広がる前に攻撃を行うことをさします。ゼロデイ攻撃はセキュリティベンダが修正プログラムの配布前に行われる攻撃につき、従来のセキュリティソフトでは避けることができません。

ゼロデイ攻撃の「ゼロデイ」とは「0日」のことをさします。脆弱性の発見後修正プログラムの配布が1日目とした場合に、それより前の日(0日目)の攻撃を指してゼロデイ攻撃と呼ばれています。

なぜゼロデイ攻撃が発生するの?

通常、新たな脆弱性は「① 脆弱性が発見される → ➁ 関係機関などに報告される → ③ 修正プログラムが作成される」という流れで、発見後にセキュリティベンダーが修正プログラムを配布し、ユーザーがパッチを適用(ソフトウェアの最新化)することで対策が完了します。
しかし、脆弱性を最初に発見したのが攻撃者だったり、修正プログラムが出来上がる前に脆弱性が公表された場合、脆弱性のあるソフトウェアを利用しているユーザの端末は、無防備な状態でゼロデイ攻撃を受けてしまいます。
ソフトウェアの脆弱性だけではなく、自ら検知されないウイルスを作ることもあり、ウイルスソフトのパターンファイルでは100%防ぐことは難しくなっています。

ゼロデイ攻撃の事例

Adobe Flash Playerのゼロデイ攻撃(WEB経由のゼロデイ攻撃)
2015年1月、JPCERTコーディネーションセンター(JPCERT/CC)が、「Flash Player」に危険な脆弱性があることを報告しました。Flashコンテンツを読み込むと悪意のあるプログラムが実行される恐れがあり、脆弱性を悪用したWeb経由の攻撃(ドライブバイダウンロード攻撃)が確認されていることをアドビシステムズが確認しました。

Windowsのゼロデイ脆弱性情報、ネットに9万ドルで売り出し
Windowsのローカル権限昇格の脆弱性情報を売りに出すという投稿が5月11日、サイバー犯罪集団が利用しているロシア語圏のフォーラムに掲載されました。
脆弱性はWindowsオブジェクトの不適切な処理に起因しているとされ、Windows 2000以降、Windows 10までの全バージョンのWindowsが影響を受けるという。ASLRやDEP、EMETといったWindowsのセキュリティ対策もかわすことができると主張しています。

ゼロデイ攻撃による被害

ゼロデイ攻撃を受けると、ID・パスワードなどの情報搾取、不正アクセス、なりすまし、DOS攻撃、他のコンピューターを攻撃するための踏み台にされるなどの被害を受けることがあります。

ゼロデイ攻撃の対策

脆弱性の発見から修正プログラムの配布が始まるまでの期間、お使いの端末は無防備な状態になってしまいます。こういった事態を想定して対策を講じておくことが必要です。対策方法はいくつかあります。ご利用の環境にとって最適な方法を選択するようにしましょう。

ホワイトリスト型のセキュリティ対策をする

動作を許可するプログラムだけを登録してそれ以外のアプリケーションの起動・実行をできないように制限をかけます。動作を許可されたリスト(ホワイトリスト)しか実行できないため、未知のマルウェアによる悪意のあるプログラムの実行ができないことになります。

サンドボックスを活用する

サンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析します。
例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業を行います。しかし、サンドボックスで分析中にもマルウェアがエンドポイントに到達してしまう可能性があり、万全な対策とは言えません。以下で見ていく多層防御なども並行して行いましょう。

多層防御により未知のマルウェア対策を構築する

ファイアウォールの設置による不正な通信のブロック、IDS/IPSによる内部ネットワーク監視、アンチボットにより通信の保護、ウィルスソフトによるエンドポイントの保護、流出してしまった場合にデータを閲覧できないようにするためのファイルの暗号化など防御壁を複数設けること(多層防御)により、万が一最初の入口を侵入されても次の入口でブロックし、守りたいの機密情報に到達される確率を下げていきます。

2018年8月4日
 

他社様との相見積も歓迎!まずはご相談ください!!

\お急ぎの方はお気軽にお電話ください/

043-306-3735

【受付時間】09:00〜18:00 (土日祝日・夏季休暇・年末年始は休み)