昨今のゼロデイ攻撃

ゼロデイ攻撃には無力な従来型のセキュリティ対策

ゼロデイ攻撃とは、ソフトウェアの脆弱性を狙ったサイバー攻撃のうち、パッチなどの修正策が存在しない「未知」または「未公表」の欠陥を突く攻撃をいいます。

ゼロデイ攻撃の検知は困難を極めます。特に、従来型のセキュリティ対策では検知不可能といっても過言ではありません。従来型のセキュリティ対策は、マルウェアのシグネチャやURLのレピュテーションに基づいて攻撃を検知しようとしますが、ゼロデイ攻撃にはそのような情報自体が存在しないからです。ゼロデイ攻撃の実行者は、非常に高い能力、技術力を備えています。そしてそのマルウェアは、検知されないまま数か月から数年にわたってシステムに潜伏し、復旧できないほど大きな被害をもたらします。

ここ数年で見つかったさまざまなゼロデイ攻撃の分析結果からは、いくつかの傾向が見てとれます。オペレーティング・システム・レベルの対策が有効性を失いつつある、水飲み場型攻撃が増加している、サイバー攻撃がより巧妙化し、セキュリティ対策を巧みにすり抜けている、などです。

White paper

ゼロデイ攻撃の分析(英語)

最近見つかったゼロデイ攻撃とその脆弱性

2017 | 2016 | 2015 | 2014 | 2013

2017年に見つかったゼロデイ攻撃とその脆弱性

  • CVE-2017-8759 – SOAP WSDLパーサーにおけるコード・インジェクション FireEyeは先ごろ、SOAP WSDLパーサーにおけるコード・インジェクションの脆弱性CVE-2017-8759を悪用する不正なMicrosoft Office RTF文書を発見しました。この脆弱性を悪用された場合、SOAP WSDLの定義内容の解析時に任意のコードを挿入される恐れがあります。
  • CVE-2017-0261 – EPSにおける解放済みメモリ使用を可能にする「restore」の脆弱性FireEyeは、Microsoft OfficeのEPS(Encapsulated PostScript)における解放済みメモリ使用を可能にする「restore」の脆弱性CVE-2017-0261が悪用されていることを確認しました。確認された事例では、Turlaという攻撃グループが使用するSHRIMEマルウェア、金銭的利益を目的とする詳細不明の攻撃グループが使用するNETWIREマルウェアを配布するためにこの脆弱性が利用されています。
  • CVE-2017-0262 – EPSにおける型の混同FireEyeは、Microsoft OfficeのEPS(Encapsulated PostScript)における型の混同の脆弱性CVE-2017-0262が、APT28により、GAMEFISHペイロードの配布に利用されていることを確認しました。
  • CVE-2017-0263 - win32k!xxxDestroyWindowにおける解放済みメモリ使用FireEyeは、win32k!xxxDestroyWindowにおける解放済みメモリ使用の脆弱性CVE-2017-0263が、APT28により、GAMEFISHペイロード配布時の権限昇格に利用されていることを確認しました。この脆弱性は、CVE-2017-0262と併用されています。
  • CVE-2017-0199 - HTAハンドラを利用した攻撃FireEyeは、CVE-2017-0199の脆弱性を悪用する不正なMicrosoft Office RTF文書を発見しました。この脆弱性を悪用された場合、エクスプロイトを埋め込んだ文書をユーザーが開いたときに、PowerShellコマンドを含むVisual Basic Scriptがダウンロードおよび実行される恐れがあります。

2016年に見つかったゼロデイ攻撃とその脆弱性

2015年に見つかったゼロデイ攻撃とその脆弱性

2015年、FireEyeは次の脆弱性を突くゼロデイ攻撃を発見しました。FireEyeはこの年、13件中8件のゼロデイ攻撃を発見しています。

  • CVE-2015-1641Microsoft Officeに存在する脆弱性です。この脆弱性を悪用された場合、リモートからコードを実行される恐れがあります。
  • CVE-2015-2424Microsoft Officeに存在するゼロデイ脆弱性です。Tsar Teamが悪用しました。
  • CVE-2015-1701Adobe Flash PlayerとWindowsに存在するゼロデイ脆弱性です。ロシアのAPT28と思われる攻撃グループが高度な標的型攻撃で悪用しました。
  • CVE-2015-1671Microsoftのフォント・ドライバに存在する脆弱性です。この脆弱性を悪用された場合、リモートからコードを実行される恐れがあります。

2014年に見つかったゼロデイ攻撃とその脆弱性

2014年、FireEyeは次の脆弱性を突くゼロデイ攻撃を発見しました。FireEyeはこの年、12件中6件のゼロデイ攻撃を発見しています。

  • CVE-2014-0322Internet Explorer 10に存在する脆弱性です。不正なWebサイトを用意してInternet Explorer 10ユーザーを攻撃する水飲み場型攻撃に使用されました。
  • Internet Explorer 9 through 11 Exploit: CVE-2014-1776 Internet Explorer 6~11に影響する脆弱性ですが、特にInternet Explorer9~11のユーザーを狙った攻撃で使用されました。一般的なセキュリティ対策をすり抜け、任意のメモリ・アクセスを可能にします。
  • CVE-2014-4148Windowsカーネル、具体的にはWindowsのTrueTypeフォント(TTF)の処理サブシステムの悪用を可能にする脆弱性です。Microsoft Office文書に不正なTTFを埋め込み、ある国際組織を攻撃するために使用されました。
  • CVE-2014-4113同じくWindowsカーネルに存在する脆弱性です。Microsoft Windows 7/Vista/XP/2000、Windows Server 2003/R2、Windows Server 2008/R2において、ローカルでの権限昇格(EoP)を可能にします。
  • CVE-2014-0502当時の最新Adobe Flash Player(12.0.0.4、11.7.700.261)に影響するゼロデイ脆弱性です。
  • CVE-2014-4114Microsoft Windowsのすべてのバージョンに影響するゼロデイ脆弱性です。この脆弱性は、ロシアのSandWorm Teamによる、NATO、欧州連合(EU)、通信事業者、エネルギー会社に対するサイバー・スパイ活動で悪用されました。

2013年に見つかったゼロデイ攻撃とその脆弱性

2013年、FireEyeは次の脆弱性を突くゼロデイ攻撃を発見しました。FireEyeはこの年、15件中11件のゼロデイ攻撃を発見しています。

  • CVE-2012-4792Internet Explorerに存在する脆弱性です。米国のシンクタンク、外交問題評議会のWebサイトに、この脆弱性を悪用するJavaScriptが埋め込まれていました。
  • CVE-2013-0422Java 7に存在する脆弱性です。Windowsシステムをロックしてコンピュータを使用できないようにする攻撃で使用されました。
  • CVE-2013-0634Adobe Flashに存在する脆弱性です。Windows、Mac、Linux、AndroidシステムのAdobe Flashで不正なActionScriptコードの実行を可能します。
  • CVE-2013-0640 / CVE-2013-0641どちらも、Adobe Reader/Acrobatに存在するJavaScript関連の脆弱性です。リモート管理ツールを不正にインストールし、ASLRとDEPを回避する攻撃で使用されました。
  • CVE-2013-1493Java Runtime Environment(JRE)に存在する脆弱性です。HotSpot VMを改ざんして標的のシステムを乗っ取る攻撃で使用されました。
  • CVE-2013-1347Internet Explorer 6~8に存在する脆弱性です。米労働省のWebサイトにアクセスするWindows XPユーザーを狙った攻撃で使用されました。
  • CVE-2013-3918 / CVE-2014-0266どちらも、Windows XP Service Pack 2以降の各種Windowsに存在するActiveX関連の脆弱性です。この脆弱性を巧妙に悪用する攻撃が発生しました。
  • CVE-2013-5065Window XPとWindows Server 2003に存在する脆弱性です。他の脆弱性と組み合わせて、カーネル・コードを標準ユーザー・アカウントでリモート実行する攻撃で使用されました。
  • CVE-2012-4681Javaランタイム環境(JRE 1.7x)に存在する複数の脆弱性です。