昨今のゼロデイ攻撃

従来型のセキュリティ対策はゼロデイ攻撃には無力

ゼロデイ攻撃とは、ソフトウェアの脆弱性を狙ったサイバー攻撃のうち、パッチなどの修正策が存在しない「未知」または「未公表」の欠陥 を突く攻撃をいいます。 FireEyeは、2013年に計11件のゼロデイ攻撃を検知しました。これは、セキュリティ・ベンダー主要10社中で最多です。

ゼロデイ攻撃の検知は困難を極めます。特に、従来型のセキュリティ対策では検知不可能といっても過言ではありません。 従来型のセキュリティ対策は、マルウェアのシグネチャやURLのレピュテーションに基づいて攻撃を検知しようとしますが、 ゼロデイ攻撃にはそのような情報自体が存在しないからです。 ゼロデイ攻撃の実行者は、非常に高い能力、技術力を備えています。そしてそのマルウェアは、検知されないまま数か月から数年にわたってシステムに潜伏し、 復旧できないほど大きな被害をもたらします。

ここ数年で見つかったさまざまなゼロデイ攻撃の分析結果からは、いくつかの傾向が見てとれます。オペレーティング・システム・レベルの対策が有効性を失い つつある、水飲み場型攻撃が増加している、サイバー攻撃がより巧妙化し、セキュリティ対策を巧みにすり抜けている、などです。

 

 

 

 

最近見つかったゼロデイ攻撃とその脆弱性

2014年に見つかったゼロデイ攻撃とその脆弱性

2014年、FireEyeは以下5つの脆弱性を突くゼロデイ攻撃を発見しました。

  • Internet Explorerに対する水飲み場型攻撃 Internet Explorer 10に存在する脆弱性です。不正なWebサイトを用意してInternet Explorer 10ユーザーを攻撃するために使用されました。
  • Internet Explorer 9~11に対する攻撃 Internet Explorer 6~11に影響する脆弱性ですが、特にInternet Explorer9~11のユーザーを狙った攻撃で使用されました。一般的なセキュリティ対策をすり抜け、任意のメモリ・アクセスを可能にします。 詳細はこちら
  • CVE-2014-4148 Windowsカーネル、具体的にはWindowsのTrueTypeフォント(TTF)の処理サブシステムの悪用を可能にする脆弱性です。Microsoft Office文書に不正なTTFを埋め込み、ある国際組織を攻撃するために使用されました。
  • CVE-2014-4113 同じくWindowsカーネルに存在する脆弱性です。Microsoft Windows 7/Vista/XP/2000、Windows Server 2003/R2、Windows Server 2008/R2において、ローカルでの権限昇格(EoP)を可能にします。
  • CVE-2014-0502 当時の最新Adobe Flash Player(12.0.0.4、11.7.700.261)に影響するゼロデイ脆弱性です。

2013年に見つかったゼロデイ攻撃とその脆弱性

2013年、FireEyeは次の脆弱性を突くゼロデイ攻撃を発見しました。FireEyeはこの年、13件中11件のゼロデイ攻撃を発見しています。

  • CVE-2012-4792 Internet Explorerに存在する脆弱性です。米国のシンクタンク、外交問題評議会のWebサイトに、この脆弱性を悪用するJavaScriptが埋め込まれていました。
  • CVE-2013-0422 Java 7に存在する脆弱性です。Windowsシステムをロックしてコンピュータを使用できないようにする攻撃で使用されました。
  • CVE-2013-0634 Adobe Flashに存在する脆弱性です。Windows、Mac、Linux、AndroidシステムのAdobe Flashで不正なActionScriptコードの実行を可能します。
  • CVE-2013-0640 / CVE-2013-0641 どちらも、Adobe Reader/Acrobatに存在するJavaScript関連の脆弱性です。リモート管理ツールを不正にインストールし、ASLRとDEPを回避する攻撃で使用されました。
  • CVE-2013-1493 Java Runtime Environment(JRE)に存在する脆弱性です。HotSpot VMを改ざんして標的のシステムを乗っ取る攻撃で使用されました。
  • CVE-2013-1347 Internet Explorer 6~8に存在する脆弱性です。米労働省のWebサイトにアクセスするWindows XPユーザーを狙った攻撃で使用されました。
  • CVE-2013-3893 Internet Explorerに存在する脆弱性です。多数の不正なWebサイトを用意してInternet Explorerユーザーを攻撃する複数のマルウェア・キャンペーンで使用されました。
  • CVE-2013-3918 / CVE-2014-0266 どちらも、Windows XP Service Pack 2以降の各種Windowsに存在するActiveX関連の脆弱性です。この脆弱性を巧妙に悪用する攻撃が発生しました。
  • CVE-2013-5065 Window XPとWindows Server 2003に存在する脆弱性です。他の脆弱性と組み合わせて、カーネル・コードを標準ユーザー・アカウントでリモート実行する攻撃で使用されました。