Skip to content Skip to navigation Skip to footer
定義
FortiDASTの仕組み
防止と削減
よくある質問

ゼロデイ脆弱性やエクスプロイトとは?

ゼロデイ(または0日)脆弱性とは、一般に知られておらず、ベンダーが認識していないソフトウェアのセキュリティリスクです。ゼロエイエクスプロイトとは、攻撃者が脆弱なシステムにアクセスするために使用する方法です。企業が検知または防止するための防御策を講じていないため、このような脅威は深刻なセキュリティ脅威であり、成功率も高くなります。

ゼロデイ攻撃は、標的が脆弱性の存在を認識する前に発生するため、いわゆる攻撃です。攻撃者は、開発者やベンダーが脆弱性を修正するためのパッチを作成する機会を得る前に、マルウェアをリリースします。

このゼロデイ攻撃の定義において、「」「」デイ「」という言葉は、海賊版デジタルメディアの世界に由来しています。映画、音楽、ソフトウェアの海賊版は、公式リリースの同時または前に利用可能になったときに「」「」day「」と呼ばれます。つまり、海賊版は公式版の0日後に公開されます。

ゼロデイ攻撃は、ハッカーがゼロデイ脆弱性を発見することから始まります。ゼロデイ脆弱性は、標的がまだ発見していないコードやソフトウェアのエラーです。その後、攻撃者はゼロデイエクスプロイト、すなわち攻撃方法に取り組み、既存の脆弱性を利用できるようにします。

ゼロデイエクスプロイトの仕組み

ゼロデイ攻撃は、ソフトウェア開発者が脆弱なコードを解放し、悪意のある攻撃者によって発見され悪用されることから始まります。攻撃が成功すると、攻撃者がアイデンティティや情報の窃盗を犯すか、開発者がパッチを作成して拡散を制限します。パッチが書き込まれて適用されるとすぐに、エクスプロイトはゼロデイエクスプロイトとは呼ばれなくなります。

ゼロデイエクスプロイトのタイムラインは、セキュリティ研究者のLeyla BilgeとTudor Dumitrasによって、脆弱性の導入からセキュリティパッチまでの7つの段階に分割されています。これらは、以下のとおりです。

ステージ1

脆弱性の導入:開発者は、脆弱なコードを含むソフトウェアを作成します。

ステージ2

エクスプロイトのリリース:悪意のある攻撃者は、開発者が脆弱性の存在に気付く前、または修正やパッチ適用が可能になる前に、脆弱性を発見します。その後、ハッカーは脆弱性が未解決のままエクスプロイトコードを書き込み、展開します。

ステージ3

発見された脆弱性:ベンダーは脆弱性に気付くが、パッチは使用していない。

ステージ4

脆弱性の開示:ベンダーやセキュリティの研究者がこの脆弱性を公開し、ユーザーや攻撃者にその存在を知らせます。

ステージ5

アンチウイルスシグネチャのリリース:攻撃者が脆弱性を標的にするゼロデイマルウェアを作成した場合、アンチウイルスベンダーはそのシグネチャを迅速に特定し、それに対する保護を提供できます。ただし、脆弱性を悪用する他の方法がある場合、システムが公開されている可能性があります。

ステージ6

セキュリティパッチのリリース:ベンダーは、公開修正をリリースして脆弱性を解決します。所要時間は、開発プロセスにおける複雑さと優先度によって異なります。

ステージ7

セキュリティパッチ展開が完了しました:セキュリティパッチをリリースしても、ユーザーがパッチを導入するのに時間がかかるため、すぐに修正することはできません。このため、組織や個々のユーザーは、自動ソフトウェアアップデートをオンにし、アップデート通知に注意する必要があります。

ステージ1から7までのプロセス全体を通じて攻撃に対して脆弱ですが、ゼロデイ攻撃はステージ2から4までしか発生しません。脆弱性が保護されていない場合、さらなる攻撃が発生する可能性があります。ゼロデイ攻撃は、大規模な被害を防ぐのに十分な速さで発見されることはめったにありません。開発者が脆弱性の存在を認識し、攻撃やデータ侵害につながるまでに、通常数日、数ヵ月、さらには数年かかることがあります。

ゼロデイ脅威の例

ゼロデイ攻撃は、気付かずに、あらゆる企業にいつでも発生する可能性があります。ゼロデイ攻撃の高代表的な例:

  1. Sony Pictures:最も有名なゼロデイ攻撃がソニーのネットワークを破壊し、ファイル共有サイトに機密データが公開された 可能性があります。この攻撃は、2014年後半に、今後の映画、会社の事業計画、上級幹部の個人用Eメールアドレスに関する情報が漏洩しました。
  2. RSA: もう1つの非常に公開されているゼロデイ攻撃では、ハッカーがAdobe Flash Playerのパッチが適用されていない脆弱性を使用して、2011年にセキュリティ企業RSAのネットワークにアクセスしました。攻撃者は、ゼロデイ脆弱性を悪用したFlashファイルが埋め込まれたExcelスプレッドシートを添付したEメールをRSA従業員に送信しました。従業員がスプレッドシートを開くと、攻撃者はユーザーのコンピュータをリモート制御し、データを検索して盗み出しました。この情報は、従業員が機密データやデバイスにアクセスするために使用するSecurID二要素認証製品に関連していることがわかりました。
  3. Aurora作戦:2009 年、ゼロデイエクスプロイトは、Adobe Systems、Blackberry、Dow Chemical、Google、Morgan Stanley、Yahooを含む20以上の主要なグローバル組織の知的財産を標的にしました。Internet Explorer、他のさまざまなWindowsソフトウェアバージョン、そしてGoogleがソースコードの管理に使用したPerforceの脆弱性を悪用しました。この攻撃は、高ハイテク組織のソースコードリポジトリへのアクセスと変更を目的としていました。

ゼロデイ攻撃の例
大きな画像で見る

ゼロデイ攻撃の防止と削減

ゼロデイ攻撃は、その定義上パッチの適用は不可能ですが、ゼロデイ攻撃の防止とこれらの攻撃の軽減を可能にする方法があります。

ゼロデイ攻撃からの保護方法

脆弱性スキャン

脆弱性をスキャンするソリューションでは、ソフトウェアコードに対する攻撃をシミュレートし、コードのエラーを確認し、ソフトウェアアップデートで導入された新しい問題を見つけることができます。ただし、このアプローチではゼロデイエクスプロイトをすべて検知することはできません。また、スキャンだけでは不十分です。企業は、エクスプロイトを防止するために、スキャンとコードのレビューの結果に迅速に対応する必要があります。

パッチ管理

パッチ管理:ソフトウェアの脆弱性を発見した直後にソフトウェアパッチを導入することで、攻撃のリスクを減らすことができます。ただし、ハッカーがパッチの導入よりも迅速にエクスプロイトを作成した場合、攻撃を防ぐことはできません。パッチプロセスにかかる時間が長いほど、ゼロデイ攻撃が発生するリスクが高くなります。

入力評価

入力評価:入力評価、またはデータ評価とは、アプリケーションやユーザーが提供した入力を適切にテストして、不適切な形式のデータがシステムに入るのを防ぎます。脆弱性のスキャンとパッチ管理のプロセスを通じて組織を保護し、新しい脅威にリアルタイムで対応できるようにします。ゼロデイ攻撃を防止する最善の方法の1つは、ネットワークエッジにWebアプリケーションファイアウォール(Webアプリケーションファイアウォール)を導入して受信トラフィックを確認し、セキュリティの脆弱性を標的にする可能性のある悪意のある入力を除外することです。

ゼロデイイニシアチブ

ゼロデイイニシアチブは、脆弱性を闇市場で販売するのではなく、脆弱性を開示したセキュリティ研究者に報いるプログラムです。その目的は、ハッカーがソフトウェアの問題を発見する前に脆弱性研究者のコミュニティを構築することです。さらに、脆弱性を報告した個人を補償するバグ報奨金プログラムも提供しています。

ゼロデイ脆弱性の削減方法

ゼロデイ攻撃の脅威に警戒し続けるには、企業は戦略を策定する必要があります。

常に最新情報を入手

脅威情勢における最新のリスクについてプロアクティブに情報を得ることは、ゼロデイ攻撃の防止に不可欠な第一歩です。これには、既知および未知の脅威をブロックする包括的なセキュリティソフトウェアの導入が含まれます。また、安全でセキュアなオンライン習慣を実践する従業員や、ブラウザやシステムのセキュリティ設定を構成する従業員も含まれます。フォーティネットのFortiGuard Labsチームは、新たな脅威を発見し、フォーティネットのソリューションが組織にセキュリティ問題をもたらす前に、そのような脅威を即座に保護することに尽力しています。

システムアップデートの実行

システムを最新の状態にしておくことは、ゼロデイ攻撃のリスクから企業を保護する上で極めて重要です。これには、最新の機能のインストール、古い機能や廃止された機能の削除、ドライバーの更新、バグの修正、セキュリティの潜在的な穴埋めが含まれます。

次世代ファイアウォールを使用する

従来のアンチウイルスソフトウェアでは、ゼロデイ脅威から企業を効果的に保護することはできません。代わりに、企業は未知のゼロデイマルウェアをブロックするソリューションを探す必要があります。フォーティネットの次世代ファイアウォールは、高度な攻撃、マルウェア、脅威を特定する詳細なインスペクション機能を組み合わせることで、これ を実現します。マルウェアをブロックするだけでなく、脅威情勢に合わせて柔軟に進化し、新たな脅威が出現するたびに組織のネットワークを安全に保護します。

ゼロデイ攻撃に関するよくある質問

ゼロデイ攻撃とは?

ゼロデイ攻撃は、標的が脆弱性の存在を認識する前に発生するため、いわゆる攻撃です。

ゼロデイ攻撃を防ぐことはできますか?

はい。ゼロデイ攻撃の脅威に警戒し続ける企業は、戦略を策定する必要があります。

最新のゼロデイ攻撃は何ですか?

ゼロデイ攻撃は、どの企業でも、多くの場合、気付かずに発生する可能性があります。ゼロデイ攻撃の高代表的な例:  

ソニーの写真:おそらく最も有名なゼロデイ攻撃は、ソニーのネットワークを破壊し、ファイル共有サイトに機密データを公開することになりました。この攻撃は、2014年後半に、今後の映画、会社の事業計画、上級幹部の個人用Eメールアドレスに関する情報が漏洩しました。

RSA:また、2011年には、セキュリティ企業RSAのネットワークにアクセスするために、Adobe Flash Playerのパッチが適用されていない脆弱性がハッカーによって悪用されました。攻撃者は、ゼロデイ脆弱性を悪用するFlashファイルが埋め込まれているExcelスプレッドシートを添付したEメールをRSA従業員に送信しました。従業員がスプレッドシートを開くと、攻撃者はユーザーのコンピュータをリモート制御し、データを検索して盗み出しました。この情報は、従業員が機密データやデバイスにアクセスするために使用するSecurID二要素認証製品に関連していることがわかりました。

オペレーションオーロラ:2009年には、Adobe Systems、Blackberry、Dow Chemical、Google、Morgan Stanley、Yahooなど、20以上の主要なグローバル組織の知的財産を標的にしたゼロデイエクスプロイトが発生しました。Internet Explorer、他のさまざまなWindowsソフトウェアバージョン、そしてGoogleがソースコードの管理に使用したPerforceの脆弱性を悪用しました。この攻撃は、高ハイテク組織のソースコードリポジトリへのアクセスと変更を目的としていました。

サイバーセキュリティリソース

関連リンク

関連トピック

利用可能なゼロデイリソースの拡充

セキュリティ対策のエキスパートに相談する

フォームにご記入いただければ、すぐに知識豊富な担当者がご連絡いたします。