国家の支援を受けたサイバー犯罪者や、金銭目的のサイバー犯罪者が活動を活発化させている現代において、あらゆる組織で未知の脆弱性による脅威を軽減する取り組みが求められている。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
サイバーセキュリティ領域において、ゼロデイ脆弱性は常に重視されてきた。ゼロデイ脆弱性とは、ソフトウェアベンダーが不具合を認識し、パッチを公開する前に攻撃に悪用されるソフトウェアバグを指す。つまり、ゼロデイ脆弱性を突いた攻撃は、防ぐのが極めて難しく、攻撃者にとってはより魅力的に感じるのだ。この攻撃は、ネットワーク管理者にとって常に頭痛の種だ。後述する2つの調査によると、ゼロデイ脆弱性を突いた攻撃は今や史上最高水準に達してしまった。
近年、ゼロデイ攻撃が急激に増加しているように見えるのは、これらの攻撃を検出・報告する取り組みが進んでいるためかもしれない。いずれにしても、国家規模の工作と金銭目的のサイバー犯罪の双方が増加してきている現状を考えれば、あらゆる組織で未知の脆弱性による脅威を軽減する取り組みが求められている。
ゼロデイ脆弱性が発見された記録的な年に
グーグル社のプロジェクトゼロ・チームは、ゼロデイ脆弱性を発見し、適切にベンダーに報告することを目的として8年以上前に創設された。同チームは多くの成功を収め、業界から注目を集めている。最新の年間報告書によれば、昨年には58件のゼロデイ脆弱性が検出された。2015年の28件の倍以上であり、2020年の25件よりも、はるかに多かった。
しかし、これが実態をすべて表しているわけではない。グーグル社のセキュリティ研究者Maddie Stoneによると、ゼロデイ攻撃の本当の数を算出するのは、ほとんど不可能だと言う。理由は明白であり、攻撃者は悪用する脆弱性を巧妙に隠しているからだ。検出・報告の手法を改善すれば、より正確な実態がわかるかもしれないと同氏は主張している。ゼロデイ脆弱性を検出・報告する研究者の数と、その製品にあるゼロデイ脆弱性を検出・報告するベンダーの数が増えているのは、良い兆候と言えるだろう。
国家規模の工作の増加
Mandiant社による別の調査が、この状況を明らかにしてくれる。2021年には80件のゼロデイ脆弱性を特定し、2019年の32件から2倍以上に増加していることを報告した。同社は、ゼロデイ脆弱性の増加は、検出数の増加に起因すると認めている一方、以下のような要因である可能性も指摘している。
- クラウド、モバイル、IoT(Internet of Things)技術への移行が進み、インターネットに接続されたソフトウェアやシステムが増加し、複雑性も増していること。
- 脆弱性を仲介するマーケットプレイスの広がり。民間企業と攻撃グループの双方において、ゼロデイ脆弱性に関する研究開発へ、より多くのリソースが投入されているため。
Mandiant社が発見したゼロデイ脆弱性の4分の3は、マイクロソフト社・アップル社・グーグル社の製品で占められていた。そして、中には中国の政府機関が「攻撃者」として携わっているものもある。最も大きな影響を与えた攻撃は、昨年3月のProxyLogonと呼ばれるMicrosoft Exchange Serverにある4つの脆弱性を悪用したものであった。新しく発見され、まだパッチが公開されていない不具合に対し、いかに早く攻撃者が動いているのかを示しただけではなく、サイバー犯罪組織を含めた複数の集団が関与していることを証明する事例となった。
ESET社は、昨年、数千台のMicrosoft Exchange Serverに対し、ProxyLogonを悪用した攻撃を仕掛けるAPT(標的に対し、継続的に攻撃を仕掛ける種類のサイバー攻撃)集団を特定している。豊富な資金を持つランサムウェア犯罪集団の中には、攻撃を仕掛ける第一歩として、ゼロデイ攻撃を採用しているという報告もある。
昔ながらの手法
グーグル社のStone氏によると、ゼロデイ攻撃の急激な増加にも関わらず、驚くべきことに攻撃手法自体は昔ながらの手法を依然として用いていると言う。
「2021年に特定したゼロデイ攻撃は、おおむね同じ不具合のパターンやアタックサーフェス(攻撃され得る領域)であり、既にこれまでの研究で報告された手法を悪用している。ゼロデイ攻撃が困難になっているのなら、攻撃者は新たなアタックサーフェスで異なる脆弱性を探し、これまで見られなかった手法を試しているだろう。しかし、今年得られたデータでは、そのような兆候は示していない。」
実際、グーグル社が記録した58件のうち、67%はメモリー破損脆弱性によるものだった。これは、過去数十年にわたり脅威となってきた一般的な不具合である。多くの攻撃者は、よく知られた不具合の種類を悪用し続けているようだ。具体的には、解放済みメモリー使用、領域外メモリーの参照・書き出し、バッファオーバーフロー、整数オーバーフローが含まれる。
脆弱性をどのように管理すればよいのか
グーグル社のStone氏は、攻撃者にとってゼロデイ攻撃が困難になるよう対策を講じる必要があると述べている。つまり、適切にパッチをあて、バグが修正されていることを確認し、同様の製品が同じ攻撃の被害に遭わないよう防ぐべきだ。これにより、攻撃者は新たなゼロデイ脆弱性を探さなければならなくなる。
その間に、CISO(Chief Information Security Officer)は、未知の脅威を発見するのに役立つツールの導入を検討できる。例えば、クラウド型のサンドボックス機能は、安全な環境で疑わしいプログラムを試行するため、組織のネットワーク外に新たな防御壁を実装できる。サンドボックスでは、機械学習アルゴリズムやふるまい検知によるウイルス検出、あるいはほかのツールで検証が行われる。ゼロデイ攻撃につながるものは、この段階でブロックされるのだ。
基本に立ち返る
組織が直面しているのはゼロデイ攻撃だけではない点も改めて指摘しておきたい。統計的には、何年も前に見つかった既知の脆弱性を突かれて攻撃を受ける場合が多いからだ。優れたサイバーセキュリティ環境を保つのは、リスク管理の上で極めて重要だ。基本に立ち返り、以下の対策を検討してほしい。
- リスク評価に基づいた、既知の脆弱性に対する継続的なパッチの適用
- 全従業員に対するサイバーセキュリティの啓蒙
- パートナー企業の十分なサイバーセキュリティ監査によるサプライチェーンのセキュリティ対策
- 社内で開発したソフトウェアに含まれるオープンソースソフトウェアが脆弱性やマルウェアを含んでいないことを確認するソフトウェア・サプライチェーンの検証
- システムが意図せず無防備にさらされるリスクを軽減するための継続的な構成管理
効果的なサイバーセキュリティ対策とは、既知と未知、双方の脆弱性から組織を守れることだ。これを実現する最善の方法として、ポリシーの最新化やサイバーリスクの軽減に注力するなど、多層的な防御が求められている。