ゼロデイエクスプロイトとは？

「ゼロデイ」の定義

「ゼロデイ」という用語は、セキュリティチームがソフトウェアの脆弱性に気づいておらず、問題を修正するためのセキュリティパッチや更新をまだ適用できない（「0」日目）場合に使用されます。一般に「ゼロデイ」は、脆弱性、エクスプロイト、脅威などの用語と関連しています。これら用語の違いを理解する必要があります。

• ゼロデイ脆弱性とは、脅威アクターが悪意のあるコードを使用して攻撃できる未知のセキュリティ脆弱性やソフトウェアの欠陥のことです。
• ゼロデイエクスプロイトとは、悪意のあるアクターが脆弱性を利用してシステムを攻撃するために使用する手法または戦術のことです。
• ゼロデイ攻撃は、ソフトウェア開発者が不具合にパッチを適用する前に、ハッカーがマルウェアをリリースしてソフトウェアの脆弱性を悪用するときに発生します。

ゼロデイの例

以下に、過去数年間で確認された既知の脆弱性の例をいくつか示します。

Kaseya攻撃

7月2日金曜日、REvilランサムウェアオペレータは、Kaseyaの顧客のインフラストラクチャを監視および管理するために使用されるKaseya VSAソフトウェアを侵害することに成功しました。Kaseyaの公式声明によると、REvilランサムウェアオペレータはゼロデイ脆弱性を利用して悪意のある更新プログラムを配信し、60人未満のKaseyaの顧客と1,500社の川下企業を攻撃しました。読む >

SonicWall VPNの脆弱性

2021年2月4日、SonicWallの製品セキュリティインシデント対応チーム（PSIRT）は、同社のSMA（セキュアモバイルアクセス）デバイスに影響を与える新しいゼロデイ脆弱性CVE-2021-20016を発表しました。そのドキュメントの中で、SonicWallは、この新しい脆弱性がSMA 100シリーズ製品に影響を及ぼし、10.xファームウェアを実行しているバージョンは更新する必要があると述べています。SonicWallは、この最新のエクスプロイトが、まだ本番環境にある古いSRA VPNデバイスに影響を及ぼすかどうか、またはどのような影響があるかについては述べていません。読む>

MSRPCプリンタスプーラーリレー（CVE-2021-1678）

2021年1月12日火曜日のパッチで、MicrosoftはCrowdStrike®の研究者が発見した重大な脆弱性であるCVE-2021-1678のパッチをリリースしました。この脆弱性を利用すると、攻撃者はNTLM認証セッションを攻撃対象のマシンに中継し、プリンタスプーラーのMSRPCインターフェースを使用して、攻撃対象マシンでコードをリモートから実行することができます。

Zerologon

2020年8月11日、Microsoftは、Securaの研究者が発見したNETLOGONプロトコルの重大な脆弱性（CVE-2020-1472）に対するパッチを含むセキュリティ更新プログラムをリリースしました。当初、技術的な詳細が公開されていなかったため、セキュリティ更新プログラムのCVEは、最大CVSSスコアが10であったにもかかわらず、それほど注目されませんでした。

この脆弱性を利用すると、ドメインコントローラにネットワークアクセスできる不正な攻撃者は、脆弱なNetlogonセッションを確立し、最終的にドメイン管理者特権を得ることができます。この脆弱性は、エクスプロイトを成功させる唯一の要件がドメインコントローラと接続できることであるため、特に深刻です。

Zerologonの技術分析を読む

NTLMの脆弱性

2019年6月火曜日のパッチで、Microsoftは、Preempt（現CrowdStrike®）の研究者が発見した2つの脆弱性CVE-2019-1040とCVE-2019-1019のパッチをリリースしました。この重大な脆弱性は、NTLM（Microsoft独自の認証プロトコル）の3つの論理的な欠陥から成るものです。Preemptの研究者は、すべての主要なNTLM保護メカニズムをバイパスすることができました。

こうした脆弱性により、攻撃者は任意のWindowsマシンで悪意のあるコードをリモートで実行したり、ExchangeやADFSなどのWindows統合認証（WIA）をサポートするHTTPサーバーを認証したりすることができます。このパッチを適用していないすべてのWindowsバージョンが攻撃を受けやすくなります。

この脆弱性が発見された経緯を見る

Stuxnet

最も有名なゼロデイ攻撃の1つは、Stuxnetです。この攻撃は、イランの核計画に相当な損害を与えたと考えられているワームです。このワームは、Microsoft Windowsオペレーティングシステムの4つの異なるゼロデイ脆弱性を利用しました。

ゼロデイ攻撃に対する保護

ゼロデイ攻撃から保護するための最適な方法を以下に説明します。

パッチ管理

パッチ管理は、ソフトウェア更新プログラム（パッチ）を識別し、コンピューター、モバイルデバイス、サーバーなどのさまざまなエンドポイントに展開するプロセスです。

「パッチ」とは、ソフトウェア開発者が既知のセキュリティ脆弱性や技術的な問題を修正するために提供する特定の変更または一連の更新のことです。パッチにはアプリケーションの新機能を追加することもできます。通常、パッチは次回の完全なソフトウェアリリースまで使用される短期的なソリューションであることに注意してください。効果的なパッチ管理プロセスには、以下の要素を考慮します。

• セキュリティパッチリリースの確認
• 脆弱性の重大度に基づいたパッチ適用の優先順位付け
• パッチの互換性テストと、影響を受けるすべてのエンドポイントへの複数パッチのインストール

タイムリーで効果的なパッチ管理戦略は、パッチリリースが既知の脆弱性に基づいているため、ネットワークセキュリティにとって極めて重要です。そのため、攻撃者はシステム内の弱点を簡単に見極めて悪用できるので、古いソフトウェアを使用する際のリスクは、さらに高まります。

脆弱性管理

脆弱性管理は、エンドポイント、ワークロード、およびシステム全体のサイバー脆弱性を特定、評価、報告、管理、および修復する継続的で定期的なプロセスです。通常、セキュリティチームは、脆弱性管理ツールを利用して、脆弱性を検知し、さまざまなプロセスを使用して脆弱性に対するパッチの適用や修正を行います。

強力な脆弱性管理プログラムは、脅威インテリジェンスと、ITや事業運営に関する知識を使用して、リスクに優先順位を付け、脆弱性にできるだけ早く対処します。

Webアプリケーションファイアウォール（WAF）の使用

Webアプリケーションファイアウォール（WAF）は、Webアプリケーションとインターネット間のハイパーテキスト転送プロトコル（HTTP）およびハイパーテキスト転送プロトコルセキュア（HTTPS）トラフィックをフィルタリング、監視、分析して、アプリケーションレベルで組織を保護するよう設計されたセキュリティデバイスです。

WAFはリバースプロキシとして機能し、悪意のあるリクエストがユーザーやWebアプリケーションに達する前にアプリケーションを保護します。WAFは、包括的なサイバーセキュリティ戦略に含まれており、クロスサイトスクリプティング（XSS）、SQLインジェクション、サービス拒否（DoS）/分散型サービス拒否（DDoS）攻撃など、ゼロデイ攻撃以外のさまざまなアプリケーション層攻撃から組織を保護することができます。

ゼロデイ脆弱性に対するクラウドストライクのソリューション

ゼロデイ攻撃を効果的に検知して軽減するには、防御テクノロジーと攻撃時の徹底的な対応計画の両方を備えた協調的な防御が必要です。組織は、次世代アンチウイルス（NGAV）、エンドポイントでの検知と対応（EDR）、脅威インテリジェンスなどのテクノロジーを組み合わせた完全なエンドポイントセキュリティソリューションを導入することで、これらのステルス性イベントや損害を与えるイベントに備えることができます。

防御を最適化するには、組織は攻撃を受けた時点で最適な防御テクノロジーを実装すると同時に、最悪のシナリオに備える計画も立てる必要があります。次に、攻撃者がネットワークへの侵入に成功した場合、セキュリティチームは、実害が生じる前にイベントを軽減するためのツール、プロセス、テクノロジーを整えます。

CrowdStrike Falcon® Spotlightは、クラウドストライクの単一の管理プラットフォームと軽量エージェントを利用して、組織が脆弱性評価情報にアクセスできるようにします。このセンサーにより、保護されたWindows、Linux、およびMacシステムで結果がリアルタイムに得られます。その場合に、時間のかかる、影響の大きいシステムスキャンや、ネットワークハードウェアの要件はありません。

次のビデオで、Falcon Spotlightが従来の脆弱性管理ソリューションの課題を克服しながら、ご使用の環境の脆弱性を評価、報告、調査する方法をご覧ください。

 

CrowdStrike® Falconの詳細を確認し、無料トライアルをリクエストするには、下のボタンをクリックしてください。

無料トライアル開始