ゼロデイ脆弱性とは?どんな被害が想定されるのか

security_907

セキュリティ最大手のシマンテック社の調査によると、2015年に検出されたマルウェアは2014年から36%増加の4億3,000万を超える数字となりました。

新しいゼロデイ脆弱性は平均で毎週1個発見されています。2016年に入ってもAdobeの「Adobe Flash Player」に深刻なゼロデイ脆弱性の存在が発見され大きく報道されました。

ここでは、ゼロデイ脆弱性とは何か、どんな脅威・被害が想定されるのかについて説明しています。

目次

1. ゼロデイ脆弱性とは?

攻撃を受ける可能性のある公には公表されていないシステムにおいての問題点・欠陥のことをいいます。公表されていませんが、攻撃者は脆弱性の存在を見つけて攻撃を仕掛けてくることがあります。

その攻撃のことをゼロデイ攻撃(ゼロデイアタック)といいます。

1-1. ゼロデイ攻撃とは?

通常、OSやソフトで脆弱性が発見された場合、提供企業(Microsoftなど)が脆弱性を修正する修正プログラム(パッチ)を配布します。しかし、その脆弱性の発見からパッチ配布までの、無防備な間に発生した脆弱性を突く攻撃が「ゼロデイ攻撃」です。

security_1037

上記のカレンダーでいえば、1日に脆弱性を発見。7日にパッチが配布されるまで、2日~6日の間はゼロデイ攻撃の危険性がある期間といえます。

1-2. 脆弱性発表からパッチ配布までの期間は?

メーカーが脆弱性を発表してからパッチの配布をスタートするまで、通常は45日以内といわれます。しかし、これは企業によって異なるため、場合によっては1年近く経過するケースもあるでしょう。

2. ゼロデイ攻撃の手口とは?

ゼロデイ攻撃はどのような手口でおこなわれるのでしょうか。解説していきます。

2-1. ゼロデイ攻撃の手口一例

security_1038

図のように、ゼロデイ攻撃で脆弱性を突いてシステムにバックドア(裏の侵入口)をつくり、ウイルスなどを感染させて情報を盗んだり、他者へウイルスを送り込んだりなどをおこないます。

2-2. 狙われやすいOS・アプリケーション

ゼロデイ攻撃のターゲットに選ばれやすいのは、基本的に「利用者が多い」「サポートが終了している」「脆弱性が多い」OS・アプリケーションです。とくに狙われる頻度が高いのが、以下になります。

  • Windows XP
  • Windows OS全般
  • Internet Explorer
  • Microsoft Office
  • Windows Media Player
  • Outlook Express
  • Adobe Reader など

攻撃者は、世界中で利用者が多いソフトを狙って攻撃を仕掛けます。とくに、Windows XPは利用者が多いながら、サポートが終了したOS。脆弱性が発見されてもMicrosoftからのサポートを受けられないので、脆弱性攻撃のリスクが高いです。

3. ゼロデイ脆弱性が発見された例

3-1. 「SCADA(産業制御システム)」を狙ったサイバー攻撃「Sandworm」

調査によりゼロデイ脆弱性が利用されていた事実が明らかになり、この脆弱性利用の発見直後、Microsoftは、更新プログラムを公開しました。

これは、Windowsのほとんどのバージョンに存在するカーネルへ影響するゼロデイ脆弱性2件への対応となります。

3-2. Adobe Flash Playerに複数のゼロデイ脆弱性

Adobe Flash Playerは多くの人が使用しているツールです。Flashは長年利用されているため、何回も更新プログラムがリリースされる中、その間に放置された状況と相まって事態をいっそう複雑化しています。

このゼロデイ脆弱性の更新プログラムは、Windows、Mac、 Linuxの各OS用に直ちに公開されました。

出典:マイクロトレンド

4. ゼロデイ脆弱性があるとどんな被害が予想される?

脆弱性を突いたゼロデイ攻撃を受けると、つぎのような被害が発生するおそれがあります。

4-1. ゼロデイ攻撃で受ける可能性のある被害

  • アクセス制限の回避
  • なりすまし行為
  • 悪意あるコマンド、スクリプト、コードなどの実行
  • サーバー、データベースへの不正アクセスや操作
  • 任意のファイルへのアクセス
  • 不正な通信の踏み台
  • ID、パスワードをはじめとする情報漏えい
  • DoS、DDoS攻撃(サーバーをダウンさせ、サービス提供不能に追い込む)

ふだんセキュリティに気を使っていても、OSやソフト自体に深刻な脆弱性があれば、これらの攻撃もより容易におこなわれてしまう可能性があります。

4-2. セキュリティソフトは効果なし!

ソフトなどに見つかった脆弱性は、いわば「パッチでしか塞げない大きな穴」です。ウイルス対策ソフトやツールなどで防ぐことはできません。これが、ゼロデイ脆弱性の厄介な部分といえるでしょう。

5. ゼロデイ攻撃を防ぐための対策は?

脆弱性ゼロのソフトは存在しません。どのソフトにもゼロデイ攻撃のリスクがあります。そのため、脆弱性情報をチェックし、発表されたら早急に対応をおこないましょう。

5-1. 脆弱性の最新情報をチェックする

情報処理推進機構(IPA)とJPCERT/CCが共同運営する「JVN」というサイトでは、脆弱性の最新情報を公開しています。日本で使用されるソフトの脆弱性と対策情報が掲載されているので、早急な対応に役立ちます。

>> Japan Vulnerability Notes (JVN)
利用者の多いIEなどのブラウザやソフトのほか、iOSなどスマホの最新脆弱性情報が掲載されています。

5-2. メーカー推奨の設定にする

重大な脆弱性が発見されると、JVNのようなデータベースはもちろん、ソフト販売元の公式サイトなどで対処方法が掲載されるでしょう。

パッチが配布されるまでは、文字通り「無防備」な状態。早急にメーカー推奨の設定をおこない、パッチの配布を待ちましょう。

5-3. ソフトの旧バージョンを利用しない

Windowsであればサポートの終了したXPなど、旧バージョンのソフトをいつまでも利用していませんか?サポートが終了すると、脆弱性が発見されても修正プログラムが配布されません。

非常に危険なため、買い替えもしくは乗り換えをおこないましょう。

5-4. セキュリティソフトもつねに最新版にアップデート

セキュリティソフトは、あらたなウイルスに対応できるよう、定期的にアップデートファイルが配布されます。これを適用しないと、最新のウイルスを駆除することができません。

「アップデートできます」といったふきだしの表示が出たら、すぐに適用しましょう。なお、ソフトによっては自動アップデートされる場合もあるので、確認してください。

5-5. パッチは配布され次第すぐ適用!

公式からパッチが配布されたら、早急にインストールしてください。放置していると、それだけリスクが高くなります。パッチの適用方法については、次項で解説します。

6. 各ソフトのパッチ適用方法について

とくに利用者が多いソフトで、パッチを適用する方法についてご紹介します。その他、アップデートの必要なソフトがあれば定期的にチェックしておいてください。

6-1. Windows OS

Windows OSの脆弱性は、Windows Updateでパッチが適用されます。アップデートの方法は以下のとおりです。

6-1-1. Vista/7の場合(画像は7)

1. スタート→「すべてのプログラム」→「Windows Update」

security_756

2. 「更新プログラムの確認」→利用可能な更新があれば「更新プログラムのインストール」

security_757

3. インストールが完了したら「今すぐ再起動」

security_758

6-1-2. 8/8.1の場合

1. [Windowsキー]+[W]で検索ボックスを表示し、「Windows Update」と検索

security_759

2. 検索結果で表示された「更新プログラムのチェック」をクリック

security_760

3. 更新プログラムが表示されたら、「インストール」をクリック

security_761

4. インストールが完了したら、「今すぐ再起動する」をクリック

security_762

6-2. Internet Explorer(IE)

IEをはじめとするMicrosoft製品の脆弱性情報や更新プログラムは、以下のページで公開されています。

>>セキュリティ TechCenter

IEについては、過去にMicrosoftが「各Windows OSで使える最新版のみサポート対象」と発表しています。旧バージョンを使用しているとパッチが配布されないので、最新版へのアップデートがおすすめです。

各Windows OSの最新版IE(2016年7月暫定)

  • XP:サポート終了
  • Vista:IE9
  • 7(SP1、SP2)/8.1:IE11
  • 8:なし、8.1へのアップデートが必要です。

6-3. iOS(iPhone/iPad)

iOSのアップデートは端末自体でおこなう方法と、パソコンと接続しておこなう方法の2種類があります。それぞれの違いも解説するので、ご自分に合う方法を選んでください。

6-3-1. 端末からアップデートする方法

パソコンがなくても、気軽にアップデートできるのがメリットです。ただし、アップデートには空き容量をつくらなくてはなりません。容量がいっぱいだとアップデートできない可能性があります。

1. 設定アプリを開く→「一般」→「ソフトウェアアップデート」→「ダウンロードとインストール」

security_763

2. パスコード入力→画面にしたがって「同意する」を押していくと、インストールが開始します(インストールの開始に時間がかかる場合があります)。

6-3-2. パソコンからアップデートする方法

パソコンにiTunesを入れて接続する手間がありますが(無料)、アップデート用の空き容量をつくる必要がありません。容量がいっぱいでアップデートできない方におすすめです。

1. パソコンでiTunesを起動→iPhone(iPad)を接続

2. スマホのアイコン→iOSの項目の「更新」をクリックし、画面にしたがって進めると完了します。少々時間がかかりますが、完了するまでパソコンと接続したままにしてください。

security_765

まとめ

セキュリティソフトを導入していれば、ウイルスやサイバー攻撃も怖くない。そう思っている方は多いのではないでしょうか?しかし、ゼロデイ攻撃に対してはほとんど効果がありません。

攻撃を受ければ情報流出をしたり、サイバー攻撃の踏み台として利用され、加害者になってしまう可能性もあります。企業であればとくに、利用しているOSやアプリなどの脆弱性情報を逐一チェックし、対処していくことが望まれます。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >