ゼロデイ攻撃、脆弱性、および攻撃の定義
ソフトウェアやプログラムコードに、ハッカーなどの悪意ある攻撃者が利用可能な欠陥があると、ゼロデイ攻撃が行われる原因となります。検知された脆弱性に対して、修復やアップデートなどの対策が取れる時間が「ゼロ」であることから「ゼロデイ攻撃」と呼ばれます。
通常ソフトウェアの脆弱性の発見から対策までは以下のような流れです
- 脆弱性が発見される
- ソフトウェアベンダーが修正パッチや、プログラムのアップデートを作成する
- 修正アップデートが公開され、利用者が対策プログラムを実行
- 脆弱性が解消される
脆弱性が発見されてから、利用者側の対応が完了するまでには時差が生じます。すぐに修正パッチやプログラムのアップデートが行われない場合、ゼロデイ攻撃のリスクも高くなることになります。
以前は、多くの場合、ゼロデイ脆弱性は、コードが開発された時点で存在していました。開発者、IT チーム、ビジネスユーザーが問題を発見できなかった場合でも、ハッカーが欠陥のあるコードとその結果生じる脆弱性を発見する可能性があります。
そして、ハッカーは、ゼロデイ脆弱性を利用して、検出が困難なマルウェアまたはウイルスを開発し、さらにその脆弱性を利用してゼロデイ攻撃を行います。
ゼロデイ攻撃は、組織のサイバー・セキュリティとデータの完全性に対して深刻な脅威となる可能性があります。感染したソフトウェアが起動する、システムが起動すると、既存のマルウェアがアプリケーション、オペレーティング・システム (OS)、ファームウェア、システムメモリーに感染し、個々のデバイスやネットワーク全体のデータや機能を危険にさらす可能性があります。
ゼロデイ攻撃の仕組み
ハッカーは攻撃キットを兵器化し、ダークウェブで販売することがあります。他のハッカーは、これらの攻撃キットを購入することで、収益性の高いランサムウェア、クリプトジャッキング、その他の高度な脅威を含む独自のゼロデイ攻撃を開始するため、潜在的な攻撃の数を倍増します。
ゼロデイ攻撃では、アプリケーション、OS、またはその他のソフトウェアリソースのコードの既知の欠陥を悪用して設計されたアクティブ攻撃キットまたはマルウェアが利用される場合があります。マルウェアが新しい変種であったり、未知のシグネチャーまたは動作パターンを持たない場合、ソフトウェア・ベースのセキュリティー・ソリューションによる検出は困難です。最近では、既存のセキュリティー対策では検知できない場合も増えてきており、ゼロデイ攻撃への対策は容易ではありません。
ゼロデイ攻撃の標的
SaaS (Software as a Service) ベンダーとマネージド・サービス・プロバイダー (MSP) は、ソフトウェアのアップデートを多くの組織と直接共有しているため、ゼロデイ攻撃の標的としてよく知られています。SaaS や MSP に対するゼロデイ攻撃が 1 つでもあれば、すぐに規模が拡大する可能性があります。
ゼロデイ攻撃は、ソフトウェアアプリケーション、OS、またはアップデートを配布する前に侵入するため、ソフトウェアサプライチェーン攻撃と呼ばれます。サプライチェーン攻撃では、マルウェアは正規のコード内に配置されるため、悪意のあるシグネチャーや動作が隠蔽されます。
これらの脅威は、標的システムへのダウンロードやインストールを必要としないため、「ファイルレス」マルウェアと定義されます。その代わり、悪質なコードは正規のシステムツールを乗っ取り、ハードディスクに保存されることなくメモリ上で動作できます。
ゼロデイ攻撃の検出
ゼロデイ攻撃は、予期しないトラフィックや不審なアクティビティを発生させる可能性があるため、IT やセキュリティーの専門家は、インターネット・トラフィックのスキャン、コードの検証、マルウェア検出技術の導入により、ゼロデイ攻撃を検出できる場合があります。ゼロデイ攻撃は新しく未知のものですが、既知のマルウェアと共通する特徴がある場合があります。
手がかりは、疑わしいコードの動作や、標的システムとの相互作用の性質に見られる場合があります。機械学習の応用により、異常な動作のパターンを検出し、フラグを立てて検査することができる場合が多いです。
しかし、ゼロデイ脅威の中には、検出されずに、ソフトウェアプログラムの動作が不審であることに気づいたユーザーによって発見されるものもあります。また、観察力の鋭い開発者や幸運な開発者が、コードが公開される前にゼロデイ脆弱性を認識し、実際の攻撃を防ぐことができるケースもあります。
ゼロデイ攻撃の防止
ゼロデイ攻撃は、IT チームにとって深刻な課題となっています。攻撃の可能性を減らすには、既知の脅威に事前に対処し、ベスト・プラクティスやエンドポイント・デバイスの保護を通じて未知の脅威に備える多面的なサイバー・セキュリティー戦略が必要です。
未然防止策
コードの検査、パッチ適用、メンテナンスに細心の注意を払うことで、ゼロデイ攻撃に対する組織の脆弱性を低減できます。
また、ウイルス対策ソフトや頻繁なスキャンは、既知のマルウェアを検出し、多くのセキュリティ侵害を防止するのに役立ちます。米国の開発者やユーザーは、欠陥が発見され修正されると、多くのハイテク企業の支援を得て米国国土安全保障省が管理・配布している CVE (Common Vulnerabilities and Exposures) のリストに記録します。同様に、European Union Agency for Cybersecurity (ENISA) は、EU 加盟国のデータやレポートを含む協調的な脆弱性の公開 (CVD) のための地域データベースの構築に取り組んでいます。
IT チームは、最新の CVE を常に把握し、自社のセキュリティー・ソリューションが既知の脅威をすべて考慮していることを確認する必要があります。
さらに、ゼロデイ攻撃は、ソフトウェアのみのセキュリティー・ソリューションを回避し、システム・メモリーに直接侵入するファイルレス・マルウェアの形式を取る場合もあります。ソフトウェア・ベースの保護に加え、企業は内蔵されたハードウェア支援型のセキュリティー機能を持つエンドポイント・デバイスを導入することで、もう一段階、防御を強化できます。
サイバー攻撃については、個々のシステムユーザーがハッカーに狙われることが多いため、技術的な解決策だけでなく、従業員のトレーニングも重要な要素です。ハッカーの中には、ゼロデイマルウェアを含む悪意のあるコードを、ソーシャル・エンジニアリングやフィッシング詐欺を通じて拡散する者もいます。この脅威に対抗するには、メール、テキスト、またはブラウザー経由で配信される不審なアプリケーションやファイルを操作しないよう、個々のユーザーに教育する必要があります。
脅威の検出とパッチ管理
ほとんどのサイバー・セキュリティー戦略とツールは、特定の欠陥、攻撃、またはサイバー脅威に関する事前の知識に依存しています。たとえば、一貫した積極的なパッチ管理により、ソフトウェアを常に完全にアップデートしておくことは、良い習慣です。しかし、ゼロデイ脆弱性は未発見であるため、パッチは提供されていません。
シグネチャー・ベースの検出は、従来のアンチウイルス・ソリューションのもう 1 つの特徴である。既知のマルウェアのバリアントは、発見してブロックできる独自の特性を持っています。繰り返しになりますが、ゼロデイマルウェアは未知であるため、そのシグネチャーを認識できません。
そこで、ソフトウェアのみのソリューションを補強し、強化するために、ハードウェア・ベースのセキュリティー機能が有効となります。ハードウェアレベルのセキュリティーは、システムメモリー、ファームウェア、BIOS、またはOSやアプリケーションのソフトウェアよりも下位のテクノロジー・スタックのサポートレイヤーを攻撃するゼロデイマルウェアの検出と防御に有効です。
また、適切なハードウェアは、データを保護する計算負荷の高い暗号化を高速化し、システムの攻撃対象領域を減らすのに役立ちます。ハードウェア・ベースのアクセラレーターは、人工知能 (AI) によるパターン認識の改善と異常な動作の特定をサポートすることもあります。
セキュリティー・ソフトウェアがこれらのハードウェアの特徴に最適化されていれば、アプリケーションや他のコードの異常な動作をより効果的に検出できます。これらの異常は、ゼロデイ攻撃やその他の高度な脅威の強力な指標となる可能性があります。
ゼロデイ攻撃の例
2020 年、米国の大手 IT 企業がゼロデイ攻撃の標的になりました。ハッカーが同社のソフトウェアに悪意のあるコードを追加し、同社は気づかぬ打ちに汚染されたコードを定期的なアップデートの一部として顧客に配布していたのです。皮肉なことに、漏洩したソフトウェアはネットワーク監視製品でした。
このマルウェアは、同社の顧客にアクセスするための「バックドア」をインストールするものでした。Wall Street Journal のレポートによると、この侵入は数か月間発見されず、数百の大企業や政府機関を含む 18,000 もの組織でゼロデイ脆弱性を引き起こしました。1
また、2020 年には、ハッカーが人気のビデオ会議プラットフォームを狙ったゼロデイ攻撃で、古いソフトウェアを搭載した古い PC にアクセスしました。ハッカーはユーザーの PC を遠隔操作し、推定 50 万件のパスワードを盗み出し、ダークウェブで販売しました。2
インテル® vPro® プラットフォームによるゼロデイ攻撃からの保護
インテル® vPro® プラットフォームは、ゼロデイ攻撃やその他の高度な脅威からコンピューティング・スタックのすべてのレイヤーを保護する上で役立つハードウェア支援型のセキュリティー機能を提供します。これらのユニークな機能は、重要なリソースをロックすることにより、OS、アプリケーション、メモリー、およびデータへの悪意のあるコードの侵入を防ぎ、システムの攻撃対象領域を縮小する上で役立ちます。
インテル® ハードウェア・シールド
インテル® vPro® プラットフォームのセキュリティー機能は、シリコンで実現する機能セットであるインテル® ハードウェア・シールドをベースにしています。インテル® ハードウェア・シールドは、ソフトウェア実行時に BIOS でメモリーをロックすることで、ゼロデイ攻撃を含むマルウェア感染のリスクを低減する上で役立ちます。インテル® ハードウェア・シールドはセキュアブートに対応しているため、OS へのマルウェアの侵入を防止できます。多くの主要なセキュリティー・ソフトウェア・ソリューションは、インテル® ハードウェア・シールドに最適化されており、高速化されたハードウェア・ベースの暗号化を活用し、サイバー攻撃の防止に役立ちます。
- インテル® 脅威検知テクノロジー (インテル® TDT) は、セキュリティー・ソフトウェア・ベンダーが、自社のセキュリティー・ソリューションの行動検出器をハードウェア・ベースのセンサーで補強および強化し、CPU 上で実行されるマルウェアをプロファイルすることによって、エンドポイント・セキュリティー・ソリューションの強化を支援します。インテル® TDT は、ハードウェア・ベースのテレメトリーと連動し、ゼロデイ脆弱性やその他の高度な脅威の発見を支援します。
- インテル® TDT 異常な動作の検知 (ABD) は、インテル® TDT のコンポーネントであり、アプリケーションや有効なシステムプロセスに侵入する、検出困難なサイバー攻撃の発見に役立ちます。これらのマルウェアは、正規のプロセス内に隠されており、動作ベースの検出方法を回避できるため、ゼロデイ脅威となる可能性があります。ABD は、CPU 内のソフトウェアの実行を追跡し、アプリケーションの動作の動的な AI モデルを構築します。そして、「既知の良い」モデルと通常とは異なる動作や異常な動作を比較し、隠れた脅威を発見します。
- インテル® Control-Flow Enforcement Technology (インテル® CET) は、第 11 世代および第 12 世代インテル® Core™ モバイル・プロセッサーの機能です。インテル® CET は、システム・メモリーに対する攻撃の防御に役立ちます。
ゼロデイ保護への多層的なアプローチ
ゼロデイ攻撃は対策が難しいですが、多層的なアプローチにより、脆弱なデバイス、ユーザー、ネットワークを保護できます。
その第一歩として、IT チームはウイルス対策ソフトウェアやパッチ管理など、堅牢かつ未然防止的なセキュリティー・ソリューションを維持する必要があります。また、セキュリティー・ポリシーを遵守して、強力なパスワードを選択し、疑わしいコードの操作を避け、ハッカーに悪用される可能性のある個人情報を保護するようユーザーを教育することも重要です。
ソフトウェア・ベースのソリューションは、ゼロデイ攻撃に対して必ずしも十分な保護になるとは限らず、包括的なアプローチには、ハードウェア・ベースのセキュリティー・レイヤーも含める必要があります。インテル® vPro® プラットフォームを搭載したエンドポイント・デバイスは、セキュリティー・ソフトウェアをハードウェア支援型の機能で補強し、システムの攻撃対象領域を縮小して、ゼロデイ脅威からテクノロジー・スタック全体を保護する上で役立ちます。