RYU'S IT Room

 IT関連ニュースなどの旬な情報をもとにインターネットやコンピュータ、情報通信技術などについてわかりやすく解説を進めます。

ゼロデイ攻撃とかゼロデイアタックってなんだろう

Network security

Sponsored Link

ゼロデイ攻撃がかなり問題化していますよね。マイクロソフト社によるインターネットブラウザにゼロデイの脆弱性が発見されたことから、世界的に大騒ぎとなっていたりします。これに対する対応パッチは、すでにマイクロソフト社からリリースされていることから、まずは一安心ですが、塞がなければそのまま脅威に晒されることから、早急な対応が必要です。

インターネットブラウザに関するゼロデイ脆弱性については、別の機会にふれることにして、そもそもゼロデイ攻撃ってなんだろうという部分に、今回はスポットをあててみたいと思います。

f:id:freedomlife:20140503224625j:plain

photo credit: Idaho National Laboratory via photopin cc

 

ゼロデイ攻撃とは何か

 OSやアプリケーションは、人の手によって開発されることから、設計やプログラムのミスがゼロとはいいきれないものです。そしてこのミスは、時に深刻なセキュリティホールを開けてしまうリスクさえあります。

たとえば、本来の書式とは異なるコマンドにより、特定の要求を行うと、サーバ内の情報を応答してしまうとか、特定のコマンドをサーバ上で実行することができたりと、実際にはあってはならない動作が、実行できてしまう場合があるわけです。

実際、企業の多くで用いられているWindowsやこのOS内で動作するアプリケーションにも、多くのセキュリティホールが確認されています。

ただ、開発元はこのセキュリティホールを放置しているわけではありません。新たなセキュリティホールが発覚した場合、開発元では、これをふさぐためのパッチを開発し、いち早く公開します。一方、OSやアプリケーション側では、このパッチを手動、もしくは自動でダウンロードし、インストールすることでセキュリティホールを塞ぐ対策をとっているわけです。

しかしここで問題になるのが、セキュリティホールが発覚してから、実際にパッチでこの穴がふさがれるまでには、ある程度のタイムラグが発生するという点です。また、セキュリティホールが発覚する以前において、悪意ある第三者がこの脆弱性をしっていたとしたらどうでしょうか。

全世界の同様のOSやアプリケーションに対して、攻撃がし放題な状態が続くことになり、大変危険なわけです。

ゼロデイ攻撃とは、セキュリティホールが発覚する以前、もしくはセキュリティホールが発覚してから、パッチが配布されるまでの間の無防備な状態を突いた攻撃といえます。セキュリティーホールの発覚から攻撃までの間に日数がないことから、ゼロデイ(Zero Day)と呼ばれるわけです。

 

ゼロデイ攻撃は実際には可能なの?

 新たなセキュリティホールが発覚したとしても、ものによっては即日パッチが配布されることから、多くの場合、そのセキュリティホールのリスクが長期に渡って続くことはあまりありません。

しかし、セキュリティホールが発覚してから、パッチが配布されるまでの間に、それを攻撃するツールを作り出すことは、実はさほど難しいことではありません。

最近では、ウイルスや攻撃を容易に作り出すことのできるツールやライブラリーがインターネット上に多く存在することから、知識がある人間であれば、短時間で攻撃ツールを作り出すことが可能なのです。また、セキュリティホールが開いたサーバーやPCを自動で見つけだすツールも、ものによっては簡単に作り出すことが可能です。

つまり、セキュリティホールの存在が発覚した段階で、即日攻撃を受けるリスクは、非常に高い確率で存在するわけです。ちなみにこの脆弱性を、ゼロデイ脆弱性(zero_day_vulnerability)と呼んだりします。

なお、セキュリティホールに対するパッチは、時に開発が遅れることもありますし、塞ぎきれないような致命的なセキュリティホールが発覚することもあるものです。また、セキュリティホールに対するパッチが配布されたとしても、何らかの設定において、サーバーやPCがこのパッチをインストールしていないことも考えられます。このような場合、いつまでも穴は開いたままということになります。すると、ゼロデイ脆弱性は、パッチ配布以降もそのままとなることがあり、攻撃対象となりやすいことになります。

つまり、セキュリティホールは、ゼロデイからそれを完全に塞ぐまで、リスクとしてインターネット上に晒されることになり、攻撃を受けるリスクは、とても高いわけです。

なお、ゼロデイ攻撃に代表的されるワームの例として、MSBlastの存在が挙げられます。

 

MSBlastとは何か

 MSBlast(エムエスブラスト)とは、2003年に大きな問題を引き起こしたワームであり、当時主流であったWindows 2000とWindows XPに感染しました。

MSBlastは、Windowsの「RPC DCOMのバッファオーバーフロー」と呼ばれる脆弱性を突くことでPC内に侵入し、レジストリに自らを登録します。すると、PCを起動するごとにこのワームが起動するようになり、自らのIPアドレスに近いアドレスをランダムに選び出しては、次々と攻撃を仕掛けるものです。

しかし実は、MSBlastが突いた脆弱性に対するパッチは、猛威を振るった以前に配布されていたことから、WindowsUpdateによって対応していれば、回避することが可能なはずでした。ところが、ユーザの多くが更新をしていなかったことから、ワームが拡散し、大きな問題となったのです。

ゼロデイ攻撃を防ぐためには、対応パッチをいち早くあてることが必要となりますが、これを怠ったり自動設定をしていない環境においては、問題が拡散したり深刻化することもあることから、十分な配慮が必要となるわけです。