ゼロデイ・エクスプロイトとは
IBMニュースレターの購読 IBM Security Randori Reconはこちら
IBM Securityを使うオフィス従業員を示すアイソメトリック画像

ゼロデイ・エクスプロイトとは、コンピューター・ソフトウェア、ハードウェア、ファームウェアに存在する、未知または未対処のセキュリティー上の欠陥を利用した、サイバー攻撃の手法です。ゼロデイとは、悪意のある攻撃者がすでにその欠陥を利用して脆弱なシステムにアクセス可能であるため、ソフトウェアやデバイスのベンダーがその欠陥を修正する時間が事実上ゼロであることを意味します。

未知の脆弱性や未対処の脆弱性は、ゼロデイ脆弱性ゼロデイ脅威として知られています。ゼロデイ攻撃とは、悪意のある攻撃者がゼロデイ脆弱性を利用してマルウェアを仕込んだり、データを盗んだり、ユーザーや組織、システムに損害を与えたりする行為です。

ゼロデイ・マルウェアは、未知のシグネチャーを持つウイルスやその他のマルウェアのことで、多くのウイルス対策ソフトウェアやシグネチャー・ベースの脅威検知テクノロジーでは検出できないものです。

IBMのX-Force Threat Intelligenceチームは、1988年以降、7,327件のゼロデイ脆弱性を記録しています。記録されたセキュリティー脆弱性全体のわずか3%に過ぎないゼロデイ脆弱性ですが、特に広く使用されているオペレーティング・システムやコンピューティング・デバイスの脆弱性は、ベンダーやサイバーセキュリティーのコミュニティーが問題を特定し、解決策をリリースするまで、多くのユーザーや組織全体がサイバー犯罪にさらされる可能性があるため、最も深刻なセキュリティー・リスクの一つです。
ゼロデイ・ライフサイクル

ゼロデイ脆弱性は、オペレーティング・システム、アプリケーション、デバイスのバージョンがリリースされた瞬間から存在しますが、ソフトウェア・ベンダーやハードウェア・メーカーはそれを知りません。脆弱性は、誰かに発見されるまで、数日、数カ月、あるいは数年間、発見されずに放置されることがあります。

最良のシナリオでは、セキュリティー研究者やソフトウェア開発者が、脅威行為者よりも先に欠陥を発見します。しかし、時にはハッカーが先にぜい弱性を見つけることもあります。

欠陥の発見者にかかわらず、多くの場合、その欠陥はすぐに公知のものとなります。ベンダーやセキュリティー専門家は通常、顧客が予防措置を講じることができるように、この情報を顧客に伝えます。ハッカーは、その脅威を自分たちの間で共有するかもしれませんし、研究者はサイバー犯罪の活動を観察することで、その情報を知ることがあるかもしれません。ベンダーは、ソフトウェア・アップデートやその他の修正が開発されるまで、ぜい弱性を秘密にしておくことがありますが、これにはリスクを伴います。ハッカーがパッチが適用される前に欠陥を見つけた場合、組織は不意を突かれる可能性があります。

新しいゼロデイ脆弱性の発見は、修正プログラムの開発に取り組むセキュリティー専門家と、その脆弱性を利用してシステムに侵入するゼロデイ・エクスプロイトを開発するハッカーとの間で競争を引き起こします。ハッカーは、実行可能なゼロデイ・エクスプロイトを開発すると、サイバー攻撃を開始します。

多くの場合、ハッカーはセキュリティー・チームがパッチを開発するよりも早くエクスプロイトを開発します。ある推定(リンクはibm.com外にあります)によると、ぜい弱性が公開されてから通常14日以内にエクスプロイトが利用可能になることがあります。しかし、ゼロデイ攻撃が始まると、通常、わずか数日でパッチが適用されます。これは、ベンダーが攻撃から得た情報を使って修正すべき欠陥を特定できるためです。そのため、ゼロデイぜい弱性は危険ですが、ハッカーは通常、長期間にわたってそれを悪用することはできません。
ゼロデイ攻撃の例
Stuxnet

Stuxnetは、Microsoft Windowsオペレーティング・システムの4つの異なるソフトウェアの脆弱性を悪用した高度なコンピューター・ワームです。2010年、Stuxnetはイランの核施設に対する一連の攻撃で使用されました。このワームは、原子力発電所のコンピューター・システムに侵入すると、ウラン濃縮に使用される遠心分離機に悪意のあるコマンドを送信しました。これらのコマンドにより、遠心分離機は高速で回転し、故障しました。Stuxnetは合計で1,000台の遠心分離機に損害を与えました。

研究者たちは、アメリカとイスラエルの政府が協力してStuxnetを構築したと考えていますが、これは確認されていません。
Log4Shell

Log4Shellは、エラー・メッセージのロギングに使用されるオープンソースのJavaライブラリーであるLog4Jのゼロデイ脆弱性でした。ハッカーはLog4Shellの欠陥を利用して、Javaアプリを実行しているほとんどすべてのデバイスを遠隔操作することができました。Apple iCloudやMinecraftのような人気のあるプログラムでLog4Jが使用されていたため、何億ものデバイスが危険にさらされていました。MITREの共通脆弱性識別子(CVE)データベースは、Log4Shellに可能な限り最高のリスクスコア、10点満点中10点を与えました。

Log4Shellの欠陥は2013年から存在していましたが、ハッカーがそれを悪用し始めたのは2021年のことでした。ぜい弱性は発見後すぐにパッチが適用されましたが、セキュリティー研究者はピーク時に毎分100件以上のLog4Shell攻撃を検知しました。(リンクはibm.com外にあります)。
2022年Chrome攻撃

2022年初頭、北朝鮮のハッカーがWebブラウザーGoogle Chromeのゼロデイ・リモート・コード実行脆弱性を悪用しました。ハッカーはフィッシング・メールを使って被害者を偽装サイトに送り込み、Chromeの脆弱性を利用して被害者のマシンにスパイウェアやリモート・アクセス・マルウェアをインストールしました。この脆弱性は発覚後にパッチが適用されましたが、ハッカーは痕跡をうまく隠したため、研究者は盗まれたデータの正確な内容を把握できていません。
脅威アクターがゼロデイ脆弱性を狙う理由

ゼロデイ攻撃は、対策が難しいサイバー脅威の一つです。ハッカーは、ターゲットがその存在を知る前にゼロデイ脆弱性を悪用することで、発見されずにネットワークに侵入することができます。

脆弱性が公になっても、ソフトウェア・プロバイダーがパッチをリリースするまでには時間がかかるため、その間、組織は脆弱性にさらされることになります。

近年、ハッカーはゼロデイぜい弱性をより頻繁に悪用しています。2022年のMandiantレポートによると、2021年だけで2018年から2020年の全期間を合わせたよりも多くのゼロデイぜい弱性が悪用されたとのことです(リンクはibm.com外にあります)。

ゼロデイ攻撃の増加は、企業ネットワークが複雑化していることに関連していると考えられます。今日、組織はクラウドとオンプレミスのアプリケーション、会社所有のデバイスと従業員所有のデバイス、モノのインターネット(IoT)と運用技術(OT)デバイスを組み合わせて利用しています。これらのすべてが組織の攻撃対象領域を拡大し、ゼロデイ脆弱性がどれにでも潜んでいる可能性があります。

ゼロデイ欠陥はハッカーにとって価値のある機会であるため、サイバー犯罪者は現在、ゼロデイぜい弱性とゼロデイ・エクスプロイトを闇市場で高額で取引しています。例えば、2020年にはハッカーがZoomのゼロデイを50万米ドルで販売していました(リンクはibm.com外にあります)。

国家関係者もゼロデイ欠陥を探しています。多くは、発見したゼロデイを公開せず、敵に対して使用するため、独自のゼロデイ・エクスプロイトを秘密裏に開発することを好みます。多くのベンダーやセキュリティー研究者は、このようなやり方が知らず知らずのうちに組織を危険にさらすと批判しています。
ゼロデイ・エクスプロイトと攻撃の防止

セキュリティー・チームは、ゼロデイ脆弱性に対して不利な立場に立たされることが少なくありません。これらの欠陥は未知であり、パッチも適用されていないため、企業はサイバーセキュリティーのリスク管理や脆弱性緩和の取り組みにおいて、これらを考慮に入れることができません。

しかし、企業はより多くの脆弱性を発見し、ゼロデイ攻撃の影響を軽減するために、いくつかの対策を講じることができます。

パッチ管理:ベンダーは、ゼロデイが判明するすぐにセキュリティー・パッチを提供しようとしますが、多くの企業はこれらのパッチを迅速に適用することを怠ります。正式なパッチ管理プログラムは、セキュリティー・チームが重要なパッチを常に適用するのに役立ちます。

脆弱性管理:綿密な脆弱性評価ペネトレーション・テストによって、企業はハッカーに侵入される前にシステムのゼロデイ脆弱性を発見することができます。

攻撃対象領域管理(ASM):ASMツールは、セキュリティー・チームがネットワーク内のすべての資産を特定し、脆弱性がないかどうかを調べることができます。ASMツールはハッカーの視点からネットワークを評価し、脅威アクターがどのように資産を悪用してアクセスする可能性が高いかに焦点を当てます。ASMツールは、攻撃者の目を通してネットワークを見ることができるため、ゼロデイ脆弱性の発見に役立ちます。

脅威インテリジェンス・フィード:セキュリティー研究者は、ゼロデイ脆弱性に最初に気づくことが多いです。外部の脅威インテリジェンスを常にアップデートしている組織は、新しいゼロデイ脆弱性についていち早く知ることができます。

異常ベースの検知手法:ゼロデイ・マルウェアはシグネチャー・ベースの検知方法をすり抜けることができますが、機械学習を使用してリアルタイムで不審な活動を検知するツールは、多くの場合ゼロデイ攻撃を捕捉することができます。一般的な異常ベースの検知ソリューションには、ユーザーとエンティティーの行動分析(UEBA)、拡張検知と対応(XDR)プラットフォーム、エンドポイントの検知と対応(EDR)ツール、一部の侵入検知侵入防止システムなどがあります。

ゼロトラスト・アーキテクチャー:ハッカーがゼロデイ脆弱性を悪用してネットワークに侵入した場合、ゼロトラスト・アーキテクチャーによって被害を最小限に抑えることができます。ゼロトラストは、継続的な認証と最小限の権限アクセスを使用して、横方向の移動を防止し、悪意のある攻撃者が機密リソースに到達するのを防ぎます。
関連ソリューション
IBM Security Randori Recon

組織のサイバー・レジリエンスを迅速に改善します。デジタル・フットプリントの拡大を管理し、シャドーITを発見し、敵対的な誘惑を踏まえた相関性のある事実に基づいた調査結果で目標を達成します。

 Randori Reconの詳細はこちら
脅威の検知と対処

SOC担当者の81%が手作業での調査で速度が低下していると回答しています。1IBM Security QRadar Suiteによるスピード・アラート調査は、AIと自動化を使用して一体化されたアナリスト体験が特長の、最新セキュリティー技術を集めたソリューションです。

 脅威の検知と対応の詳細はこちら
IBM X-Force Red脆弱性管理サービス

欠陥の特定、優先順位付け、修復の管理を行う脆弱性管理プログラムを採用することで、攻撃に対する耐性を強化し、修復時間を短縮し、規制コンプライアンスの維持を支援します。

 脆弱性管理サービスの詳細はこちら
参考情報 ゼロデイ・エクスプロイトの究極のガイド

ゼロデイ・エクスプロイトと、それがセキュリティーにおいて果たす重要な役割について、知っておくべきあらゆることを紹介します。IBMグループ企業のRandoriが作成しました。

 サイバー攻撃とは

サイバー攻撃とは、コンピューター・システムへの不正アクセスを通じて、他人の資産を盗んだり、暴露したり、変更したり、無効にしたり、破壊したりする試みです。

 脆弱性管理とは

脆弱性管理とは、組織のITインフラストラクチャーとソフトウェアにおけるセキュリティー上の欠陥を継続的に発見して解決することです。
次のステップ

ハイブリッドクラウドの普及と永続的なリモートワーカーの導入により、企業の攻撃対象領域を管理することが不可能になっています。IBM Security Randori Reconは、継続的で高精度な検出プロセスを使用してシャドーITを発見します。Randori Reconは、誤検知を減らして目標を継続的に達成し、合理化されたワークフローと既存のセキュリティー・エコシステムとの統合を通じて全体的な回復力を向上させます。

 

 Randori Reconの詳細はこちら Randori Reconのデモを予約
脚注

1 グローバル・セキュリティー・オペレーション・センター調査結果(PDF)、Morning Consult実施、IBM協賛、2023年3月