セキュリティのパッチが提供される前に攻撃が行われることをゼロデイ攻撃と言う。そして、このゼロデイ攻撃は標的型攻撃ではごく一般的に使われる手法だ。パッチが出る前に攻撃が行われるので、ウイルスワクチンでは検知できない未知のマルウェアに感染してしまう可能性が高い。
ゼロデイ攻撃は、脆弱性が公開されてから攻撃が行われる場合と、脆弱性の存在が知られる前に攻撃が行われてしまい、攻撃をどこかの組織が検知してから脆弱性が知られることもある。
このような脆弱性はセキュリティ専門家が発見して、ソフトウェアベンダに通知してパッチが用意され、それから脆弱性が公開されることが望ましいが、今では脆弱性を犯罪者が発見しブラックマーケットで取引されたり、そのまま攻撃者が使用してしまうことが多くなってきた。
ファイア・アイは9月21日に日本に対するゼロデイ攻撃について情報を公開したが、11月8日にも新しいゼロデイ攻撃に関する情報を公開した。これらはいずれもIEのゼロデイ攻撃であり、ファイア・アイ社の研究所の調べでは、2010年にGoogleなどをはじめとする多くの企業を狙ったオペレーション・オーロラの攻撃者と共通点があるとされている。さらに、ファイア・アイ社が9月に報告したDeputyDogとも関連があるとされている。
つまり、同じ組織が長期間にわたって攻撃を繰り返している、ということだ。また、これらの攻撃の共通点がある。それは、IEの未知の脆弱性が使われたゼロデイ攻撃であることだ。
攻撃者はIEの未知の脆弱性を用いることが出来る、ということであるので、今後も攻撃するための未知の脆弱性を「在庫」している可能性がある。従って、今後もIEのゼロデイ攻撃は続くと考えていいだろう。
ファイア・アイ製品を買ってください、というのも答えだが、IEを使わない、というのも選択肢だ。ところがIEは社内システムとの関係などからスタンダードとなっているので、なかなかIE禁止にはできないところが頭の痛いところである。
コラム:オペレーション Ephemeral Hydra: オペレーションDeputy Dogとの関連性を示唆する、 IEを狙ったゼロデイ攻撃
ファイア・アイ社が11月10日に発表したこの攻撃は、IEのゼロデイ攻撃である。このレポートで注目すべき点は、ディスクレス攻撃、ということだ。攻撃者が改ざんしたサイトにアクセスしたユーザは、IEの脆弱性を突かれて、不正なコードが実行されてしまう。
このコードはその時にメモリ上に展開されるだけで、その後にファイルを作成してマシンを再起動した後にも自動実行される、ようにはしない。つまり、メモリ上にだけ存在して、その後消えてしまうのだ。
ファイルに残らないので、その事実をつかむことはとても難しい。メモリ解析を行えば検出可能であるが、感染したままの状態を維持しなければならず、事実上、感染の事実をパソコンから抽出することは困難と言える。また、自分で再起動する機能まで持っているので、情報を吸い出した後にすぐに消えてしまう、ということも考えられる。
このような攻撃は、これまでにAPT(執拗に長期間にわたり攻撃を繰り返す)という概念には、はまらないものである。しつこくないAPTというのは、今後トレンドとなるかもしれない。このような攻撃でターゲットを把握し、その後に本格的なAPTに移行する、ということも考えられる。
