サイバー攻撃

ゼロデイ脆弱性の脅威|セキュリティソフトは効果なし!?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_907

セキュリティ最大手のシマンテック社の調査によると、2015年に検出されたマルウェアは2014年から36%増加の4億3,000万を超える数字となりました。

新しいゼロデイ脆弱性は平均で毎週1個発見されています。2016年に入ってもAdobeの「Adobe Flash Player」に深刻なゼロデイ脆弱性の存在が発見され大きく報道されました。

ここでは、ゼロデイ脆弱性とは何か、どんな脅威・被害が想定されるのかについて説明しています。

1. ゼロデイ脆弱性とは?

攻撃を受ける可能性のある公には公表されていないシステムにおいての問題点・欠陥のことをいいます。公表されていませんが、攻撃者は脆弱性の存在を見つけて攻撃を仕掛けてくることがあります。

その攻撃のことをゼロデイ攻撃(ゼロデイアタック)といいます。

1-1. ゼロデイ攻撃とは?

通常、OSやソフトで脆弱性が発見されると、当該OS・ソフトの提供企業(Microsoftなど)が脆弱性の修正プログラム(パッチ)を配布します。

しかしその脆弱性発見→パッチ配布までの、無防備な間に脆弱性を突いておこなわれる攻撃が「ゼロデイ攻撃」です。

security_1037

上記のカレンダーでいえば、1日に脆弱性を発見。7日にパッチが配布されるまで、2日~6日の間はゼロデイ攻撃の危険性がある期間といえます。

1-2. 脆弱性発表からパッチ配布までの期間は?

メーカーが脆弱性を発表してからパッチの配布をスタートするまで、通常は45日以内といわれます。しかし、これは企業によって異なるため、場合によっては1年近く経過するケースもあるでしょう。

2. ゼロデイ攻撃の手口とは?

ゼロデイ攻撃はどのような手口でおこなわれるのでしょうか。よくある例で解説していきます。

2-1. ゼロデイ攻撃の手口一例

security_1038

図のように、ゼロデイ攻撃で脆弱性を突いてシステムにバックドア(裏の侵入口)をつくり、ウイルスなどを感染させて情報を盗んだり、他者へウイルスを送り込んだりなどをおこないます。

2-2. 狙われやすいOS・アプリケーション

ゼロデイ攻撃のターゲットに選ばれやすいのは、基本的に「利用者が多い」「サポートが終了している」「脆弱性が多い」OS・アプリケーションです。とくに狙われる頻度が高いのが、以下になります。

  • Windows XP
  • Windows OS全般
  • Internet Explorer
  • Microsoft Office
  • Windows Media Player
  • Outlook Express
  • Adobe Reader など

攻撃者は、世界中で利用者が多いソフトを狙って攻撃を仕掛けます。とくにWindows XPは、利用者が多いながらサポートが終了したOS。

サポートが終了した=脆弱性が発見されてもMicrosoftからパッチが提供されない、ということです。よって、脆弱性攻撃のリスクが非常に高くなります。

3. ゼロデイ脆弱性が発見された例

3-1. 「SCADA(産業制御システム)」を狙ったサイバー攻撃「Sandworm」

調査によりゼロデイ脆弱性が利用されていた事実が明らかになり、この脆弱性利用の発見直後、Microsoftは、更新プログラムを公開しました。

これは、Windowsのほとんどのバージョンに存在するカーネルへ影響するゼロデイ脆弱性2件への対応となります。

3-2. Adobe Flash Playerに複数のゼロデイ脆弱性

Adobe Flash Playerは多くの人が使用しているツールです。Flashは長年利用されているため、何回も更新プログラムがリリースされる中、その間に放置された状況と相まって事態をいっそう複雑化しています。

このゼロデイ脆弱性の更新プログラムは、Windows、Mac、 Linuxの各OS用に直ちに公開されました。

出典:マイクロトレンド

4. ゼロデイ脆弱性があるとどんな被害が予想される?

脆弱性を突いたゼロデイ攻撃を受けると、つぎのような被害が発生するおそれがあります。

4-1. ゼロデイ攻撃で受ける可能性のある被害

  • アクセス制限の回避
  • なりすまし行為
  • 悪意あるコマンド、スクリプト、コードなどの実行
  • サーバー、データベースへの不正アクセスや操作
  • 任意のファイルへのアクセス
  • 不正な通信の踏み台
  • ID、パスワードをはじめとする情報漏えい
  • DoS、DDoS攻撃(サーバーをダウンさせ、サービス提供不能に追い込む)

ふだんセキュリティに気を使っていても、OSやソフト自体に深刻な脆弱性があれば、これらの攻撃もより容易におこなわれてしまう可能性があります。

4-2. セキュリティソフトは効果なし!

ソフトなどに見つかった脆弱性は、いわば「パッチでしか塞げない大きな穴」です。ウイルス対策ソフトやツールなどで防ぐことはできません。これが、ゼロデイ脆弱性の厄介な部分といえるでしょう。

5. ゼロデイ攻撃を防ぐための対策は?

脆弱性ゼロのソフトは存在しません。どのソフトにもゼロデイ攻撃のリスクがあります。そのため、脆弱性情報をチェックし、発表されたら早急に対応をおこないましょう。

5-1. 脆弱性の最新情報をチェックする

情報処理推進機構(IPA)とJPCERT/CCが共同運営する「JVN」というサイトでは、脆弱性の最新情報を公開しています。日本で使用されるソフトの脆弱性と対策情報が掲載されているので、早急な対応に役立ちます。

>> Japan Vulnerability Notes (JVN)
利用者の多いIEなどのブラウザやソフトのほか、iOSなどスマホの最新脆弱性情報が掲載されています。

5-2. メーカー推奨の設定にする

重大な脆弱性が発見されると、JVNのようなデータベースはもちろん、ソフト販売元の公式サイトなどで対処方法が掲載されるでしょう。

パッチが配布されるまでは「無防備」な状態。早急にメーカーが推奨する設定をおこない、配布されるのを待ちましょう。

5-3. ソフトの旧バージョンを利用しない

Windowsであればサポートの終了したXPなど、旧バージョンのソフトをいつまでも利用していませんか?サポートが終了すると、脆弱性が発見されても修正プログラムが配布されません。

非常に危険なため、買い替えもしくは乗り換えをおこないましょう。

5-4. セキュリティソフトもつねに最新版にアップデート

セキュリティソフトは、あらたなウイルスに対応できるよう、定期的にアップデートファイルが配布されます。これを適用しないと、最新のウイルスを駆除することができません。

「アップデートできます」といったふきだしの表示が出たら、すぐに適用しましょう。なお、ソフトによっては自動アップデートされる場合もあるので、確認してください。

5-5. パッチは配布され次第すぐ適用!

公式からパッチが配布されたら、早急にインストールしてください。放置していると、それだけリスクが高くなります。パッチの適用方法については、次項で解説します。

6. 各ソフトのパッチ適用方法【OS】

ここからはとくに利用者が多いソフトで、パッチを適用する方法を解説します。まず本項では、WindowsやiOSなどOSでの手順を見ていきましょう。なお、OS Xはデフォルトで更新が自動になっています。

6-1. Windows OS

Windows OSの脆弱性は、Windows Updateでパッチが適用されます。アップデートの方法は以下のとおりです。第2項で前述したとおりXPはサポートが終了しているので、パッチはありません。

6-1-1. Vista/7の場合(画像は7)

1. スタート→「すべてのプログラム」→「Windows Update」

security_756

2. 「更新プログラムの確認」→利用可能な更新があれば「更新プログラムのインストール」

security_757

3. インストールが完了したら「今すぐ再起動」

security_758

6-1-2. 8/8.1の場合

1. 「Windowsキー」+「W」で検索ボックスを表示し、「Windows Update」と検索

security_759

2. 検索結果で表示された「更新プログラムのチェック」をクリック

security_760

3. 更新プログラムが表示されたら、「インストール」をクリック

security_761

4. インストールが完了したら、「今すぐ再起動する」をクリック

security_762

6-1-3. 10の場合

1. 「スタートボタン」→「設定」

security_1152

2. 「更新とセキュリティ」をクリック

security_1153

3. 「Windows Update」→「更新プログラムのチェック」で自動的にインストールされます。再起動するように表示されたら起動中のアプリを終了し、再起動してください。

security_1154

6-2. iOS(iPhone/iPad)

iOSのアップデートは端末自体でおこなう方法と、パソコンと接続しておこなう方法の2種類があります。それぞれの違いも解説するので、ご自分に合う方法を選んでください。

6-2-1. 端末からアップデートする方法

パソコンがなくても、気軽にアップデートできるのがメリットです。ただし、アップデートには空き容量をつくらなくてはなりません。容量がいっぱいだとアップデートできない可能性があります。

1. 設定アプリを開く→「一般」→「ソフトウェアアップデート」→「ダウンロードとインストール」

security_763

2. パスコード入力→画面にしたがって「同意する」を押していくと、インストールが開始します(インストールの開始に時間がかかる場合があります)。

6-2-2. パソコンからアップデートする方法

パソコンにiTunesを入れて接続する手間がありますが(無料)、アップデート用の空き容量をつくる必要がありません。容量がいっぱいでアップデートできない方におすすめです。

1. パソコンでiTunesを起動→iPhone(iPad)を接続

2. スマホのアイコン→iOSの項目の「更新」をクリックし、画面にしたがって進めると完了します。少々時間がかかりますが、完了するまでパソコンと接続したままにしてください。

security_765

7. 各ソフトのパッチ適用方法【ブラウザ】

利用者の多いブラウザにおける、パッチの適用方法は以下のとおりです。

7-1. Internet Explorer(IE)

IEをはじめとするMicrosoft製品の脆弱性情報や更新プログラムは、以下のページで公開されています。

>>セキュリティ TechCenter

IEについては、過去にMicrosoftが「各Windows OSで使える最新版のみサポート対象」と発表しています。旧バージョンを使用しているとパッチが配布されないので、最新版へのアップデートがおすすめです。

各Windows OSの最新版IE(2016年7月暫定)

  • XP:サポート終了
  • Vista:IE9
  • 7(SP1、SP2)/8.1:IE11
  • 8:なし、8.1へのアップデートが必要です。

7-2. Google Chrome

1. ウィンドウ右上、タテ3点のマークを押す→「設定」

security_1155

2. 左メニュー「概要」→「アップデートを確認しています…」と表示され、更新できる場合は「再起動」ボタンが表示されるので、クリックしてブラウザを再起動すれば完了です。

security_1156

7-3. Firefox

1. 上部メニュー「ツール」→「オプション」

security_1157

2. 左メニュー「詳細」→タブの「更新」→「更新を自動的にインストールする」を選択すれば、自動で更新がインストールされるようになります。

security_1158

8. 各ソフトのパッチ適用方法【その他】

そのほか、利用者の多いソフトでのパッチ適用方法を紹介します。アップデートのほか、機能をオフにするのもセキュリティ面で有効です。

8-1. Javaをアップデートする方法

Oracle(https://www.java.com/ja/)から最新バージョンの Java を入手してください。

【Windowsの場合】

1. ダウンロードしたファイルのインストーラを起動→「実行」→「インストール」

2. インストールオプションのなかから必要なプログラムを選択、指示に従って進めてください。

【Macの場合】

1. Apple メニュー→「システム環境設定」

2. 「Java」→Java コントロールパネル→「更新」で画面の指示に従って進めてください。

8-2. Flashをアップデートする方法

Adobe(http://get.adobe.com/jp/flashplayer/)から最新バージョンのFlashを入手してください。

【Windowsの場合】

1. ダウンロードしたファイルのインストーラを起動→「実行」→「インストール」

2. 「次のプログラムにこのコンピューターへの変更を許可しますか?」と表示されたら「はい」→「インストール完了」と表示されたら完了です。

【Macの場合】

1. 「Adobe Flash Player Installer」と表示されたら、「Install Adobe Flash Player.app」をダブルクリック。

2. 「開いてもよろしいですか?」→「開く」→ユーザー名とパスワードを入力→「OK」で手順に従って進めてください。

まとめ

セキュリティソフトを導入していれば、ウイルスやサイバー攻撃も怖くない。そう思っている方は多いのではないでしょうか?しかし、ゼロデイ攻撃に対してはほとんど効果がありません。

攻撃を受ければ個人情報を流出したり、遠隔操作されたりして、つぎなるサイバー攻撃の加害者になってしまう可能性もあります。企業であればとくに、利用OSやアプリなどの脆弱性情報を逐一チェックし、対処することが望まれます。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

【2017年 脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2017年 脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2017年版 脅威レポート】の内容


1. おもなWebアプリケーション診断項目
2. ペネトレーションテストの内容とは?
-2016年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2016年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新たな脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

無料Ebookを今すぐダウンロードする