ゼロデイエクスプロイトとは?

ゼロデイ攻撃とは、ほとんど知られていないセキュリティ上の脆弱性を突いた攻撃のことです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「脆弱性」の定義とzero-day脆弱性を説明する
  • ゼロデイエクスプロイトとは何かを説明する
  • ゼロデイ攻撃を防ぐための主な方法について説明する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

ゼロデイエクスプロイトとは?

ゼロデイエクスプロイト(ゼロデイ脅威とも呼ばれる)とは、修正プログラムのないセキュリティ上の脆弱性を利用した攻撃のことです。「ゼロデイ」脅威と呼ばれるのは、最終的に欠陥が発見されると、開発者や組織が解決策を考え出すまでに「0日」しかないことに由来します。

脆弱性とは?

脆弱性とは、プログラミングの誤りや不適切な設定に起因する、ソフトウェアまたはハードウェアの意図しない欠陥のことです。脆弱性は意図的でないため、発見が難しく、数日、数カ月、時には数年間も気づかれないことがあります。

ゼロデイ攻撃の仕組みとは?

攻撃者は、これまで知られていなかった脆弱性を特定すると、その特定の脆弱性を標的にしたコードを書き、マルウェアにパッケージ化します。このコードが実行されると、システムを侵害できる可能性が生じます。

攻撃者がゼロデイ脆弱性を悪用する方法は様々です。一般的な手口の1つは、エクスプロイトが埋め込まれた添付ファイルやリンクを含むフィッシングメールを通じてマルウェアを配布することです。これらの悪意のあるペイロードは、ユーザーが添付ファイルやリンクを操作した際に実行されます。

有名なゼロデイ攻撃としては、2014年のソニー・ピクチャーズエンタテインメントが巻き込まれたものがあり、未公開映画のコピー、重役同士のメールのやり取り、事業計画などの機密情報が公開されました。攻撃者は、この情報の入手にゼロデイエクスプロイトを使用しました。

ゼロデイエクスプロイトは、様々な形でビジネスに悪影響を及ぼす可能性があります。貴重なデータや機密情報を失うだけでなく、顧客の信頼を失い、不具合の修正に貴重なエンジニアリングリソースを割かなければならなくなる可能性があります。

ゼロデイ脅威を検出する方法

定義上、ゼロデイ脅威は検出が困難です。検出を容易にするためのいくつかの戦略が開発されています。

  • 統計学に基づく検知:機械学習を利用して、過去のエクスプロイト事例から履歴データを収集して安全な動作の基準レベルを設定することで、zero-day脅威をリアルタイムに検知します。しかし、このアプローチではパターンの変化に対応できず、変化を考慮した新しい攻撃プロファイルを作り上げる必要があります。
  • シグネチャーベースの検出: この技法は、セキュリティ監視の黎明期から用いられているものです。マルウェアのシグネチャ(悪意のあるコードの存在を示す固有の値)が記録されている既存のデータベースと照らし合わせながら、ローカルファイルやダウンロードファイルをスキャンして新しい潜在的な脅威を検出します。この方法の欠点は、シグネチャが識別できるのは既知の脅威のみであるため、この方法ではほとんどのゼロデイ脅威を検出することができません。
  • 行動ベースの検出:既存のソフトウェアに対するユーザーの操作内容を分析し、それが悪意のある活動の結果であるかどうかを確認します。行動ベースの検出は、将来の行動を学習し、予期しない行動をブロックしようとします。ネットワークトラフィックの流れを予測することでこれを行います。

ゼロデイ攻撃を防ぐ方法

コード内の脆弱性を表面化することを単一のアプローチで完全に防ぐことはできませんが、いくつかの戦術やツールでそのリスクを最小限に抑えることができます。脆弱性攻撃を阻止するための最も重要な技術として、ブラウザの分離ファイアウォールの2つが挙げられます。

ブラウザ分離

メールの添付ファイルを開いたり、フォームに入力したりといったブラウジング上の操作は、信頼できないソースからのコードとのやりとりを必要とし、攻撃者が脆弱性を悪用することを可能にします。ブラウザの分離は、ブラウザの操作による実行内容をエンドユーザーのデバイスや企業ネットワークから分離し、ユーザーのデバイスで悪意のあるコードが実行されないようにします。ブラウザの分離は、次の3つの方法で行うことができます。

  • リモート型ブラウザの分離:Webページの読み込みやコードの実行は、ユーザーのデバイスや組織の内部ネットワークから離れたクラウドサーバー上で行われます。
  • オンプレミス型ブラウザ隔離:リモートブラウザ隔離と似たような機能ですが、社内で管理されたサーバで行われます。
  • クライアントサイド型ブラウザの分離:Webページはこれまでどおりユーザーの端末に読み込まれますが、サンドボックス(プログラムを別々に実行するセキュリティ機構)を使用して、コンテンツとコードが別のデバイスに分離された状態を保ちます。

ファイアウォール

ファイアウォールは、あらかじめ設定されたセキュリティポリシーに基づいて、送受信されるトラフィックを監視するセキュリティシステムです。ファイアウォールは、信頼できるネットワークと信頼できないネットワーク(多くの場合、インターネット)の間に設置され、脅威から保護します。また、悪意のあるコンテンツが信頼できるネットワークに到達するのを阻止し、機密情報がネットワークから流出するのを防ぎます。ファイアウォールは、ハードウェア、ソフトウェア、またはその両方の組み合わせで構築することができます。ファイアウォールは、トラフィックを監視することで、セキュリティの脆弱性を狙ったトラフィック、ゼロデイ攻撃につながるトラフィックをブロックします。

Cloudflareはゼロデイ脆弱性からどのように保護するのか?

リモート型ブラウザの分離:Cloudflareのリモート型ブラウザの分離ソリューションは、サンドボックス化によりユーザーのブラウザ上の操作と実行内容は監視されたクラウド環境で行われます。ブラウザ上の操作と実行内容はユーザーのエンドデバイスから隔離されるため、エンドデバイスはゼロデイ脅威のような脆弱性から保護されます。

Webアプリケーションファイアウォール(WAF):Cloudflare WAFは、脅威インテリジェンスと機械学習を使用して、新たな脅威をリアルタイムで自動的にブロックします。脅威インテリジェンスは、ピーク時に毎秒9300万件ものHTTPリクエストを処理するCloudflareのグローバルネットワークから得られます。その結果、zero-day悪用やその他の攻撃に対する比類ない保護力を実現します。