ゼロデイ攻撃は続く

EnterpriseZine / 2013年12月24日 10時30分

 みなさんこんにちは。TPPベンダーであるファイア・アイ社でCTOを務める三輪信雄です。このセキュリティオンラインでは、CTOの視点からさまざまな情報をお届けしていきます。

 セキュリティのパッチが提供される前に攻撃が行われることをゼロデイ攻撃と言う。そして、このゼロデイ攻撃は標的型攻撃ではごく一般的に使われる手法だ。パッチが出る前に攻撃が行われるので、ウイルスワクチンでは検知できない未知のマルウェアに感染してしまう可能性が高い。

 ゼロデイ攻撃は、脆弱性が公開されてから攻撃が行われる場合と、脆弱性の存在が知られる前に攻撃が行われてしまい、攻撃をどこかの組織が検知してから脆弱性が知られることもある。

 このような脆弱性はセキュリティ専門家が発見して、ソフトウェアベンダに通知してパッチが用意され、それから脆弱性が公開されることが望ましいが、今では脆弱性を犯罪者が発見しブラックマーケットで取引されたり、そのまま攻撃者が使用してしまうことが多くなってきた。

 ファイア・アイは9月21日に日本に対するゼロデイ攻撃について情報を公開したが、11月8日にも新しいゼロデイ攻撃に関する情報を公開した。これらはいずれもIEのゼロデイ攻撃であり、ファイア・アイ社の研究所の調べでは、2010年にGoogleなどをはじめとする多くの企業を狙ったオペレーション・オーロラの攻撃者と共通点があるとされている。さらに、ファイア・アイ社が9月に報告したDeputyDogとも関連があるとされている。

 つまり、同じ組織が長期間にわたって攻撃を繰り返している、ということだ。また、これらの攻撃の共通点がある。それは、IEの未知の脆弱性が使われたゼロデイ攻撃であることだ。

 攻撃者はIEの未知の脆弱性を用いることが出来る、ということであるので、今後も攻撃するための未知の脆弱性を「在庫」している可能性がある。従って、今後もIEのゼロデイ攻撃は続くと考えていいだろう。

 ファイア・アイ製品を買ってください、というのも答えだが、IEを使わない、というのも選択肢だ。ところがIEは社内システムとの関係などからスタンダードとなっているので、なかなかIE禁止にはできないところが頭の痛いところである。

● コラム:オペレーション Ephemeral Hydra: オペレーションDeputy Dogとの関連性を示唆する、 IEを狙ったゼロデイ攻撃

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング