ゼロデイ(ゼロアワー、デイゼロとも言います)脆弱性は、「まだ公表されていないが攻撃者によって悪用されている未知の脆弱性」として知られています。ゼロデイ脆弱性を発見して悪用すれば、サイバー犯罪者は容易に攻撃の成功率を上げることができます。多くの場合、攻撃が実際に起こってからでないと情報が得られないため、ゼロデイ脆弱性を利用する攻撃は識別も解析も困難です。そして、攻撃が初めて確認された時点では脆弱性について不明な点が多いので、実際問題としてゼロデイ攻撃は防ぎようがありません。
一般的な流れとして、新しい脆弱性が見つかると、ハードウェアやソフトウェアのベンダーはその通知を受けて修正プログラムの作成に着手しますが、これには相応の時間がかかります。セキュリティ上の脆弱性とは、試験段階で見逃されたプログラミングエラーです。攻撃者は、ときとしてこのバグを特定して悪用し、悪質なペイロードに隠ぺいしたうえで、狙った標的に対するゼロデイ攻撃を実行します。セキュリティコミュニティが脆弱性を発見して解析すると、その詳細がセキュリティ情報として公表され、影響を受けるハードウェアやソフトウェアのベンダーは、情報公開と同時にその問題を修正するパッチをリリースする場合もあります。しかし、リリース前にはテストと品質管理の工程を経る必要があるため、ソフトウェアベンダーがセキュリティ上のバグをパッチ修正するまでには時間がかかることがあります。それまでの間セキュリティベンダーは、潜在的な悪用、あるいは実際に確認されている個別の攻撃を検出できるように、ウイルス定義や IPS のシグネチャを更新します。
ゼロデイ脆弱性のライフサイクルは、以下のような段階に分けることができます。
- 攻撃者がファジングによって、または偶発的に脆弱性を発見する。
- 攻撃者が、悪質なバイナリをシステムに投下して実行する実動マルウェアを作成する。
- 攻撃者が、このマルウェアを攻撃に使う。
- セキュリティベンダーや研究者が、各種の監視アプリケーションやユーザーから寄せられたサンプルを通じて、活動中のマルウェアを特定する。セキュリティベンダーが先に悪用を確認した場合は、その情報を一般に公開するよりも前に、該当するフトウェアベンダーに通知する。
- セキュリティ情報が、ソフトウェアベンダーまたはセキュリティベンダーによって一般に公開される。
- セキュリティベンダーが、ウイルス対策製品や IPS 製品用の新しいシグネチャを公開する。
- ソフトウェアベンダーが、適切な修正を実装したパッチをリリースする。
図 1. ゼロデイ脆弱性のライフサイクル
攻撃者は、脆弱性が公表されてから、対象のシステムにパッチがインストールされるまでの間、脆弱性を悪用することができます。脆弱性の悪用は、情報が公開された直後の数日間に件数が増え、その後はウイルス対策や IPS のシグネチャが配備されるために被害数が減少し、ベンダーからのパッチが適用されるとさらに少なくなっていきます。
過去 10 カ月間、シマンテックはインストール数の多いソフトウェアのゼロデイ脆弱性が数多く悪用されていることを確認してきました。これらの攻撃に使われたマルウェアは、リモートコード実行の機能を持ち、攻撃者が高い技術力を備えていることを実証しています。
2012 年 9 月までにも多くのゼロデイ脆弱性が使われました。4 月には、Adobe Flash Player に存在するオブジェクト型の混乱の脆弱性(CVE-2012-0779)と組み合わせて使われる何種類かのマルウェアが確認されています。そのすぐ後には、Microsoft Internet Explorer の Same ID プロパティに存在する脆弱性(CVE-2012-1875)と Microsoft XML コアサービスに存在する脆弱性(CVE-2012-1889)に関係する 2 つのゼロデイ攻撃も登場しました。
図 2. 2012 年 4 月から 9 月に悪用が確認された主なゼロデイ脆弱性
2012 年 9 月になると、Nitro ハッカーグループに関連するサーバーで、Microsoft Internet Explorer の画像配列に存在する解放後使用によるリモートコード実行の脆弱性(CVE-2012-4969)を利用するゼロデイ攻撃が発見されました。また、同じサーバーが最近、Oracle の Java ランタイム環境に存在するリモートコード実行の脆弱性(CVE-2012-4681)を突いた攻撃にも使われたことも特徴的でした。以下のように、Flash(SWF)ファイルのさまざまな脆弱性を利用してマルウェアを投下する手口も出現しています。
サイバー犯罪者はゼロデイ脆弱性を好んで利用し、その発見に膨大な労力を注ぎこんでいます。ゼロデイ脆弱性の見かけから、ともすればソフトウェアベンダーは油断してしまうことがあります。自社のソフトウェアが徹底的に調査され、綿密に脆弱性を精査されるとは限らないと考えるからです。その一方、セキュリティ研究者は脆弱性悪用の動きを最小限に抑えるべく、常に警戒を怠ることはありません。シマンテックリサーチラボの Leyla Bilge と Tudor Dumitra の両氏は最近、『An Empirical Study of Zero-day Attack in The Real World(実世界でのゼロデイ攻撃の経験論的研究)』と題する論文を発表しました。その中で、詳細が公表される前に実際に悪用された 18 件の脆弱性を特定し、取り上げた脆弱性の例では、自然減して消滅するまでに平均して 312 日間悪用が続いたと説明しています。ゼロデイ攻撃が、対応する脆弱性の公表までに実世界でどれだけの時間、またどの程度蔓延していたかを調査した有益な研究であり、ぜひ一読されることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。