「ゼロデイ攻撃」の版間の差分
rv 外部サイトの丸写し |
Senkaku Islands (会話 | 投稿記録) 著作権フリーにつき復活 |
||
16行目: | 16行目: | ||
===共通脆弱性識別子CVEによる情報の整理=== |
===共通脆弱性識別子CVEによる情報の整理=== |
||
[[アメリカ合衆国連邦政府]]の支援を受けた非営利団体のMITREにより、脆弱性の共通となる番号など(識別子)を付与しそれを公開する試みが行われている。これにより、A社で調査中の脆弱性XとB団体で対応中の脆弱性Zが共通の脆弱性だと認識できる事により、情報の共有が進み、ひいてはパッチ作成の時間などを短縮でき、またユーザーにも認知しやすく、パッチなどのアップデートの必要性など判断しやすくなる事が期待されている。発見された脆弱性には、「CVE-年4ケタ-番号」と付与され、公式サイトにて確認が取れる<ref>[https://www.ipa.go.jp/security/vuln/CVE.html 共通脆弱性識別子CVE概説]</ref>。(詳細は[[脆弱性情報データベース]]の項目参照)。なお、CVEは英語だが、IPAが順次調査し、重要なものは[[日本語]]で警告を発している<ref>[https://www.ipa.go.jp/security/vuln/index.html 脆弱性対策:IPA 独立行政法人 情報処理推進機構]</ref>。 |
[[アメリカ合衆国連邦政府]]の支援を受けた非営利団体のMITREにより、脆弱性の共通となる番号など(識別子)を付与しそれを公開する試みが行われている。これにより、A社で調査中の脆弱性XとB団体で対応中の脆弱性Zが共通の脆弱性だと認識できる事により、情報の共有が進み、ひいてはパッチ作成の時間などを短縮でき、またユーザーにも認知しやすく、パッチなどのアップデートの必要性など判断しやすくなる事が期待されている。発見された脆弱性には、「CVE-年4ケタ-番号」と付与され、公式サイトにて確認が取れる<ref>[https://www.ipa.go.jp/security/vuln/CVE.html 共通脆弱性識別子CVE概説]</ref>。(詳細は[[脆弱性情報データベース]]の項目参照)。なお、CVEは英語だが、IPAが順次調査し、重要なものは[[日本語]]で警告を発している<ref>[https://www.ipa.go.jp/security/vuln/index.html 脆弱性対策:IPA 独立行政法人 情報処理推進機構]</ref>。 |
||
===振る舞い検知=== |
|||
ウイルスや攻撃を検知する方法としては、検査対象が特徴的なパターンを含むかどうかで判断するパターンマッチングが一般的。しかしゼロデイ攻撃や未知のウイルスのようにパターンが登録されていないものについては検出することは困難である。振る舞い検知は、このようなケースに対応する攻撃検知の仕組みである。具体的には対象のサーバやネットワークを常時監視し、不審な書込み動作や不正な通信、または攻撃の予兆とみられる通信量の異常増加、エラーの多発、などの要因を分析して攻撃検知に繋げる<ref>[https://blogs.mcafee.jp/behavior-threat-prevention 振る舞い検知とは?機械学習を活用した未知の脅威への強力な対策]</ref>。 |
|||
===各企業の取り組み=== |
===各企業の取り組み=== |
2020年6月12日 (金) 12:55時点における版
ゼロデイ攻撃(ゼロデイこうげき)は、脆弱性が発見されて修正プログラムが提供される日(One day)より前にその脆弱性を攻略する攻撃のこと。ゼロデイ (英: Zero day) は脆弱性を解消する手段がない状態で脅威にさらされる状況をいう。
概要
元来は、セキュリティホールが「一般的に知られる前」にハッカーやクラッカーが発見して行うものをゼロデイ攻撃と呼んでいたが、実際には発覚しても、修正プログラムや対策パッチが作られるのに時間がかかる為に、周知されたゼロデイ攻撃も存在する。基本的には対策となるセキュリティーパッチが“作られる前”である事から、対応策は限定されゼロデイ攻撃は「消費者や企業団体を襲うIT関連のすべての脅威の中で、いちばん深刻」であると報じられている[1]。ゼロデイ攻撃は、APT攻撃で組み合わせて使われる事も多い[2]。
事例
2015年1月Adobe Flash Playerのゼロデイ攻撃
2015年1月13日 Adobe Flash Playerの脆弱性を修正したバージョン16.0.0.257をリリースしたものの、脆弱性2件が発見され1件を修正したものを22日に緊急公開した。未解決の脆弱性を残しており[3]IPAからも注意勧告が出された[4]パッチ提供は1月26日の週になる事が予告され、その間に脆弱性を残したままだった。研究者は「無効にした方がいいかもしれない」と勧告した事が報じされている[3]その後も、新たな脆弱性の発覚は続き、最終的に修正されたのは2月6日だった[5]。
2014年 シェルショック
2014年9月24日(日本時間)Linux等のシェルとして用いられているBashについての脆弱性が公表( CVE-2014-6271[6])、IPAから緊急告知が行われた[7]。このシェルはサーバーの管理運営などに使われており、またCGIなどでも基幹部分で使用されていたため影響は巨大であり、サーバーを停止できない企業や、代替となるものが用意できないケースでは、パッチが出るまで対応策が極めて限られ、ケースによってはセキュリティーソフトのシグネチャ更新がくるまで、対応策が無いに等しい状態となり、技術者を大いに困惑させた。この際に行われたゼロデイ攻撃を警察庁は監視し報告書を公開している[8][9]。この監視と報告書公開は、脆弱性発覚の翌日には第一報が行われており、続けて10月7日にも第二報が公開された。これは、監視している事を示す事によるゼロデイ攻撃の抑止効果を狙ったものとみられる。
対策
共通脆弱性識別子CVEによる情報の整理
アメリカ合衆国連邦政府の支援を受けた非営利団体のMITREにより、脆弱性の共通となる番号など(識別子)を付与しそれを公開する試みが行われている。これにより、A社で調査中の脆弱性XとB団体で対応中の脆弱性Zが共通の脆弱性だと認識できる事により、情報の共有が進み、ひいてはパッチ作成の時間などを短縮でき、またユーザーにも認知しやすく、パッチなどのアップデートの必要性など判断しやすくなる事が期待されている。発見された脆弱性には、「CVE-年4ケタ-番号」と付与され、公式サイトにて確認が取れる[10]。(詳細は脆弱性情報データベースの項目参照)。なお、CVEは英語だが、IPAが順次調査し、重要なものは日本語で警告を発している[11]。
振る舞い検知
ウイルスや攻撃を検知する方法としては、検査対象が特徴的なパターンを含むかどうかで判断するパターンマッチングが一般的。しかしゼロデイ攻撃や未知のウイルスのようにパターンが登録されていないものについては検出することは困難である。振る舞い検知は、このようなケースに対応する攻撃検知の仕組みである。具体的には対象のサーバやネットワークを常時監視し、不審な書込み動作や不正な通信、または攻撃の予兆とみられる通信量の異常増加、エラーの多発、などの要因を分析して攻撃検知に繋げる[12]。
各企業の取り組み
複数の企業により、ゼロデイ攻撃に対応する様々なシステムが提唱され、研究開発が進んでいる。
脚注
- ^ ゼロデイ攻撃: やられてから対策するよりも事前の障害物配備を, と訴えるCyvera
- ^ ゼロデイ攻撃の手口と対策
- ^ a b AdobeがFlash Playerの臨時パッチを公開、なお未解決の脆弱性も
- ^ Adobe Flash Player の脆弱性対策について(APSB15-02)(CVE-2015-0310)
- ^ Flash Playerの最新版が提供開始、危険なゼロデイ脆弱性を修正(日経コンピューター)
- ^ CVE-2014-6271
- ^ 更新:bash の脆弱性対策について(CVE-2014-6271 等)
- ^ Bash の脆弱性を標的としたアクセスの観測について (警察庁9月25日)
- ^ Bash の脆弱性を標的としたアクセスの観測について 第二報(警察庁10月7日)
- ^ 共通脆弱性識別子CVE概説
- ^ 脆弱性対策:IPA 独立行政法人 情報処理推進機構
- ^ 振る舞い検知とは?機械学習を活用した未知の脅威への強力な対策