ゼロデイエクスプロイトとは

未知の脆弱性や未対処の脆弱性は、ゼロデイ脆弱性やゼロデイ脅威として知られています。ゼロデイ攻撃とは、悪意のある攻撃者がゼロデイ脆弱性を利用してマルウェアを仕込んだり、データを盗んだり、ユーザーや組織、システムに損害を与えたりする行為です。

ゼロデイ・マルウェアは、未知のシグネチャーを持つウイルスやその他のマルウェアのことで、多くのウイルス対策ソフトウェアやシグネチャー・ベースの脅威検知テクノロジーでは検出できないものです。

IBM®のX-Force脅威インテリジェンス・チームは、1988年以降、7,327件のゼロデイ脆弱性を記録しています。記録されたセキュリティー脆弱性全体のわずか3％に過ぎないゼロデイ脆弱性ですが、特に広く使用されているオペレーティング・システムやコンピューティング・デバイスのにおけるゼロデイ脆弱性は、ベンダーやサイバーセキュリティーのコミュニティーが問題を特定し、解決策をリリースするまで、多くのユーザーや組織全体がサイバー犯罪にさらされる可能性があるため、最も深刻なセキュリティー・リスクの一つです。

ゼロデイ脆弱性は、オペレーティング・システム、アプリケーション、デバイスのバージョンがリリースされた瞬間から存在しますが、ソフトウェア・ベンダーやハードウェア・メーカーはそれを知りません。脆弱性は、誰かに発見されるまで、数日、数カ月、あるいは数年間、発見されずに放置されることがあります。

最良のシナリオでは、セキュリティー研究者やソフトウェア開発者が、脅威アクターよりも先に欠陥を発見します。しかし、ハッカーが先に脆弱性を突くこともあります。

誰が欠陥を発見したかにかかわらず、多くの場合、その欠陥はすぐに公になります。ベンダーやセキュリティ専門家は通常、予防策を講じることができるように顧客に伝えます。 ハッカーは、その脅威を自分たちの間で共有するかもしれませんし、研究者はサイバー犯罪者の活動を観察することで、その情報を知るかもしれません。一部のベンダーは、ソフトウェアのアップデートやその他の修正プログラムを開発するまで脆弱性を秘密にしておく場合がありますが、これは賭けになる可能性があります。 ベンダーがパッチを当てる前にハッカーが欠陥を発見した場合、組織は不意を突かれる可能性があります。

新しいゼロデイ脆弱性の発見は、修正プログラムの開発に取り組むセキュリティー専門家と、その脆弱性を利用してシステムに侵入するゼロデイ・エクスプロイトを開発するハッカーとの間で競争を引き起こします。ハッカーは、実行可能なゼロデイ・エクスプロイトを開発すると、サイバー攻撃を開始します。

多くの場合、ハッカーはセキュリティー・チームがパッチを開発するよりも早くエクスプロイトを開発します。ある推定によると、脆弱性が公開されてから通常14日以内にエクスプロイトが利用可能になります。しかし、ゼロデイ攻撃が始まると、通常、わずか数日でパッチが適用されます。これは、ベンダーが攻撃から得た情報を使って修正すべき欠陥を特定できるためです。そのため、ゼロデイ脆弱性は危険ですが、ハッカーは通常、長期間にわたってそれを悪用することはできません。

Stuxnetは、Microsoft Windowsオペレーティング・システムの4つの異なるソフトウェアの脆弱性を悪用した高度なコンピューター・ワームです。2010年、Stuxnetはイランの核施設に対する一連の攻撃で使用されました。このワームは、原子力発電所のコンピューター・システムに侵入すると、ウラン濃縮に使用される遠心分離機に悪意のあるコマンドを送信しました。これらのコマンドにより、遠心分離機は高速で回転し、故障しました。Stuxnetは合計で1,000台の遠心分離機に損害を与えました。

研究者たちは、アメリカとイスラエルの政府が協力してStuxnetを構築したと考えていますが、これは確認されていません。

Log4Shellは、エラー・メッセージのロギングに使用されるオープンソースのJavaライブラリーであるLog4Jのゼロデイ脆弱性でした。ハッカーはLog4Shellの欠陥を利用して、Javaアプリを実行しているほとんどすべてのデバイスを遠隔操作することができました。Apple iCloudやMinecraftのような人気のあるプログラムでLog4Jが使用されていたため、何億ものデバイスが危険にさらされていました。MITREの共通脆弱性識別子（CVE）データベースは、Log4Shellに可能な限り最高のリスクスコア、10点満点中10点を与えました。

Log4Shellの欠陥は2013年から存在していましたが、ハッカーがそれを悪用し始めたのは2021年のことでした。脆弱性は検知後すぐにパッチが適用されましたが、セキュリティー研究者はピーク時に毎分100件以上のLog4Shell攻撃を検知しました。

2022年初頭、北朝鮮のハッカーがWebブラウザーGoogle Chromeのゼロデイ・リモート・コード実行脆弱性を悪用しました。ハッカーはフィッシング・メールを使って被害者を偽装サイトに送り込み、Chromeの脆弱性を利用して被害者のマシンにスパイウェアやリモート・アクセス・マルウェアをインストールしました。この脆弱性は速やかにパッチが適用されましたが、ハッカーは痕跡をうまく隠したため、研究者は盗まれたデータの正確な内容を把握できていません。

ゼロデイ攻撃は、対策が難しいサイバー脅威の一つです。ハッカーは、ターゲットがその存在を知る前にゼロデイ脆弱性を悪用することで、発見されずにネットワークに侵入することができます。

脆弱性が公になっても、ソフトウェア・プロバイダーがパッチをリリースするまでには時間がかかるため、その間、組織は脆弱性にさらされることになります。

現在、ハッカーがゼロデイ脆弱性を悪用する頻度が高まっています。2022年のMandiantレポートによると、ゼロデイ脆弱性は2021年だけで2018年から2020年の全期間を合わせたよりも多く悪用されたとのことです。

ゼロデイ攻撃の増加は、企業ネットワークが複雑化していることに関連していると考えられます。今日、組織はクラウドとオンプレミスのアプリケーション、会社所有のデバイスと従業員所有のデバイス、モノのインターネット（IoT）と運用技術（OT）デバイスを組み合わせて利用しています。これらの要素すべてが組織の攻撃対象領域を拡大し、ゼロデイ脆弱性がどれにでも潜んでいる可能性があります。

ゼロデイ欠陥はハッカーにとって価値のある機会であるため、サイバー犯罪者は現在、ゼロデイ脆弱性とゼロデイ・エクスプロイトを闇市場で高額で取引しています。例えば、2020年にはハッカーがZoomのゼロデイを50万米ドルで販売していました。

国家関係者もゼロデイ欠陥を探しています。多くは、検知したゼロデイを公開せず、敵に対して使用するため、独自のゼロデイ・エクスプロイトを秘密裏に開発することを好みます。多くのベンダーやセキュリティー研究者は、このようなやり方が知らず知らずのうちに組織を危険にさらすと批判しています。

セキュリティー・チームは、ゼロデイ脆弱性に対して不利な立場に立たされることが少なくありません。これらの欠陥は未知であり、パッチも適用されていないため、企業はサイバーセキュリティーのリスク管理や脆弱性緩和の取り組みにおいて、これらを考慮に入れることができません。

ただし、企業はさらに多くの脆弱性を発見し、ゼロデイ攻撃の影響を軽減するための措置を講じることができます。

パッチ管理：ベンダーは、ゼロデイが判明するとセキュリティー・パッチを提供しようとしますが、多くの企業はこれらのパッチを迅速に適用することを怠ります。正式なパッチ管理プログラムは、セキュリティー・チームが重要なパッチを常に適用するのに役立ちます。

脆弱性管理：綿密な脆弱性評価とペネトレーション・テストによって、企業はハッカーに侵入される前にシステムのゼロデイ脆弱性を検知することができます。

攻撃対象領域管理（ASM）：ASMツールは、セキュリティー・チームがネットワーク内のすべての資産を特定し、脆弱性がないかどうかを調べることができます。ASMツールはハッカーの視点からネットワークを評価し、脅威アクターがどのように資産を悪用してアクセスする可能性が高いかに焦点を当てます。ASMツールは、攻撃者の目を通してネットワークを見ることができるため、ゼロデイ脆弱性の検知に役立ちます。

脅威インテリジェンス・フィード：セキュリティー研究者は、ゼロデイ脆弱性に最初に気づくことが多いです。外部の脅威インテリジェンスを常にアップデートしている組織は、新しいゼロデイ脆弱性についていち早く知ることができます。

異常ベースの検知手法：ゼロデイ・マルウェアはシグネチャー・ベースの検知方法をすり抜けることができますが、機械学習を使用してリアルタイムで不審な活動を検知するツールは、多くの場合ゼロデイ攻撃を捕捉することができます。一般的な異常ベースの検知ソリューションには、ユーザーとエンティティーの行動分析（UEBA）、拡張検知と対応（XDR）プラットフォーム、エンドポイントの検知と対応（EDR）ツール、一部の侵入検知と侵入防止システムなどがあります。

ゼロトラスト・アーキテクチャー：ハッカーがゼロデイ脆弱性を悪用してネットワークに侵入した場合、ゼロトラスト・アーキテクチャーによって被害を最小限に抑えることができます。ゼロトラストは、継続的な認証と最小限の権限アクセスを使用して、横方向の移動を防止し、悪意のある攻撃者が機密リソースに到達するのを防ぎます。