ゼロデイとは?/ キャッシュワン
[ 467] 「ゼロデイ攻撃」が当たり前の時代に:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/OPINION/20061005/250012/
|
OSやアプリケーションの修正パッチ(セキュリティ更新プログラム)を適用することは,インターネットやパソコンを安全に使うためのセオリーの一つである。パッチを適用することで,セキュリティ・ホールを悪用する攻撃---例えば,「文書ファイルを開いただけ」あるいは「Webページにアクセスしただけ」で被害に遭うような攻撃---を避けられる。 しかし万全ではない。パッチをきちんと適用しているユーザーでも,セキュリティ・ホールを突かれるおそれがある。修正パッチや修正バージョンが未公開のセキュリティ・ホールを悪用する攻撃,いわゆる「ゼロデイ攻撃」が相次いでいるためだ(「ゼロデイ攻撃」の用語解説)。 狙われているのはマイクロソフト製品だけではない。ジャストシステムのワープロ・ソフト「一太郎」もターゲットになっており,8月と9月,一太郎を狙ったゼロデイ攻撃が1回ずつ確認されている。ジャストシステムはこれらの修正パッチ(アップデート・モジュール)を公開済みだが,今後も狙われる可能性は高い。 オフィス・ソフトを狙うゼロデイ攻撃については,細工が施された文書ファイルを開かなければ被害に遭わない。しかしながら,文書ファイルで感染を広げるマクロ・ウイルスが流行していた2000年以前ならともかく,現在では,文書ファイルに対するガードは甘い。覚えのないプログラム(実行形式ファイル)は決して開かないようなユーザーでも,文書ファイルについては開いてしまうことが少なくないだろう。 しかも最近では,特定のユーザーや組織を狙って,メールの件名や文面などをもっともらしく“カスタマイズ”した「スピア攻撃」が盛んだ。メールの内容がもっともらしく,なおかつ添付されているのが文書ファイルの場合,そのファイルを開かずにいることは難しいだろう。 覚えのないメールに書かれたリンクや,誰でも書き込める掲示板サイトなどに張られたリンクを何気なくクリックしただけで攻撃サイトへ誘導されて,悪質なプログラムを勝手に実行されてしまう。例えば,ユーザーのキー入力を記録してパスワードなどを盗むスパイウエア(いわゆる「キーロガー」)を知らないうちにインストールする攻撃サイトが確認されている。 複数のセキュリティ・ベンダーによれば,攻撃サイトが続出した理由の一つは,広く使われている攻撃用ツールに,このVMLの実装に関するセキュリティ・ホールを突く機能が実装されたためだという。 その攻撃用ツールには,複数のセキュリティ・ホールを突く機能が用意されていて,一つでもふさいでいないセキュリティ・ホールがあれば,それを突いてスパイウエアなどを勝手にインストールする。そして,攻撃者が悪用しやすいセキュリティ・ホールが新たに見つかれば,このツールは“バージョンアップ”されて,それを悪用する機能が追加される。 今回のセキュリティ・ホールもツールの攻撃対象に組み込まれ,それぞれのサイトがツールをバージョンアップしている。このため,このセキュリティ・ホールを突くサイトが増えているように見えるという。 このときも,パッチが未公開の状態でセキュリティ・ホールを突いてスパイウエアなどをインストールするサイトが続出。マイクロソフトでは毎月第2火曜日(米国時間)の“月例パッチ公開日”を待たずに,修正パッチをリリースした。 このときと同様にVMLのセキュリティ・ホールについても,マイクロソフトでは9月27日に修正パッチを緊急リリースしている。 ゼロデイ攻撃が珍しくなくなっている現在,ユーザーとしてはどうすればよいだろうか。これについては,以前と少しも変わらない。「セキュリティのセオリーをきちんと守る」ことに尽きる。 具体的には,「修正パッチを適用する/修正版にアップグレードする」「セキュリティ・ソフト(ウイルス対策ソフトやパーソナル・ファイアウオールなど)を利用する」「覚えのないメールの添付ファイルは開かない/リンクはクリックしない」「信頼できないサイトへはアクセスしない」---などである。 万全でないのはパッチだけではない。上記のいずれの対策(セオリー)も万全ではない。セキュリティ・ソフトで守れない場合もあるし,もっともらしいメールに攻撃ファイルが添付されている場合もある。「これさえやれば大丈夫」という対策は存在しない。複数のセキュリティ対策を組み合わせて,被害に遭う危険性をゼロに近づけることが重要だ。 「攻撃の対象になりやすいマイクロソフト製品を使わない」ということも,対策の一つになりうるだろう。しかしこれについても,過信は禁物だ。前述のように一太郎を狙ったゼロデイ攻撃が確認されているし,IE以外のブラウザも攻撃対象になっている。例えば,先に紹介した攻撃用ツールには,IEだけではなくFirefoxのセキュリティ・ホールを突く機能も用意されているという。どのような製品を使っている場合でも,セキュリティのセオリーを守ることが不可欠だ。 「“安全”なプログラム判別に世界180カ国のセンサー・ネットを活用」,米シマンテックの分析担当ディレクタ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 468] ゼロデイ攻撃:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/COLUMN/20060801/244834/
|
図1 ゼロデイ攻撃はしっかり鍵をかけたつもりなのに思いもよらない方法で破られるようなもの(イラスト:なかがわ みさこ)[画像のクリックで拡大表示] 図2 弱点の公表から対処可能になるまでの間が狙われる場合もある(イラスト:なかがわ みさこ)[画像のクリックで拡大表示] ゼロデイ攻撃(zero-day attack)とは,「OSやアプリケーションのセキュリティ・ホールを修正するパッチが提供されるより前に,実際にそのホールを突いて攻撃が行われたり,悪用する不正プログラムが出現している状態」を表す言葉として使われている。宝石箱にしっかり鍵をかけて守っていたはずなのに,思いもよらない方法で鍵が破られて中の宝石が盗まれてしまった──そんなイメージだといえるだろう(図1)。ゼロデイという言葉は,修正パッチが提供された日を1日(目)とすると,それ以前に攻撃が始まったという意味でそう呼ばれている。 オープン・ソースなど一部のソフトを除けば,一般にOSやアプリケーションのセキュリティ・ホールをユーザー自信で修正することはできない。つまり,開発元のベンダーがそのホールに対処する修正パッチを提供するのを待つしかない。このため,一般のユーザーにとってゼロデイ攻撃を防ぐのはかなり困難だ。 セキュリティの専門家によれば,ゼロデイ攻撃は二つのパターンに分類できるという。一つは,セキュリティ・ホールの存在をユーザーもベンダーも知らない状態で,クラッカ(悪意のあるユーザー)だけがホールを見つけて攻撃するというパターンである。もう一つは,セキュリティ・ホール情報が公表されたあと,ベンダーによって修正パッチが提供されるまでの間を突いてクラッカがそのホールを攻撃するというパターンである。こちらは,先ほどの例でいえば,鍵に問題があることは販売店が公表して多くの購入者が知っているが,実際に販売店が鍵を交換するまでに少し期間があり,その間に泥棒が宝石を盗んでしまったというようなイメージといえる(図2)。 大手ウイルス対策ソフト・ベンダーの米マカフィーによれば,過去に起こったゼロデイ攻撃は,後者のパターンが多いという。その理由として同社では,「ゼロデイ攻撃を狙って不正プログラムを作る人と,セキュリティ・ホールを探し出せる技術を持った人は別であるケースが多いから」(AVERTラボ JAPANの本城信輔ウイルス研究員)と分析している。ほかの専門家からも「ゼロデイ攻撃を狙った不正プログラムには,他人が作った攻撃用コードをほぼそのままの形で組み込んであるケースが多い」(セキュアブレインの星澤裕二プリンシパルセキュリティアナリスト)と同様の意見が聞かれ,公表されたセキュリティ・ホール情報を基にゼロデイ攻撃が数多く実行されているという現実がうかがい知れる。 こうした状況をかんがみて,修正パッチを提供できるようになるまではセキュリティ・ホール情報を公表しないというスタンスのベンダーがいる。その一方で,とくに海外のセキュリティ・ベンダーを中心に,見つけたセキュリティ・ホール情報をすぐに公表してしまうケースもある。 世の中の傾向としては,前者の立場を支持するベンダーが多数派のようで,後者についてはゼロデイ攻撃を助長しているといった批判が少なからずある。ただ,修正パッチの提供を待たずに早々とセキュリティ・ホールの存在を公表することが,必ずしも悪いとは限らない。誰かがホールを見つけたということは,クラッカも同様にそのホールを見つけているかもしれないからだ。仮に修正パッチがなくても,ホールの存在さえユーザーが知っていれば,運用で被害を避けたりセキュリティ対策ソフトで回避するといった対策をとることが考えられる。場合によっては,そのアプリケーションを使わないという選択もできる。 ウイルスが侵入するなどの脅威が社内で発生したときに,復旧作業をする対象や優先順位を決める作業を指す言葉は,次のうちどれでしょう? 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 469] ITmedia エンタープライズ:一太郎を狙うゼロデイ攻撃
[引用サイト] http://www.itmedia.co.jp/enterprise/articles/0608/17/news072.html
|
シマンテックは、ジャストシステムのワープロソフト「一太郎」に存在する未パッチの脆弱性を悪用して拡散するトロイの木馬に警告を発した。 Symantecでは、一太郎は主に日本で広く使われているため、これらトロイの木馬の影響も日本国内のみにとどまると予想している。実際、感染報告はほとんど寄せられていないということだ。 ただし逆に言えば、これらのトロイの木馬は、「一太郎を利用している日本のユーザー」という特定のグループを狙った、ターゲットを絞った攻撃の1つであると見ることもできる。 ジャストシステムでは、トロイの木馬に悪用された脆弱性についてシマンテックより報告を受け、現在、状況を確認している段階だ。影響を受ける製品や対応策などについては調査中であり、パッチのリリース予定などは追って明らかにしていくという。なおSymantecによると、脆弱性は少なくとも一太郎2005/2006で確認されているという。 現時点では、パッチなどによる解決策は存在しないため、「不審な添付ファイル」「身に覚えのない添付ファイル」は開かないという鉄則を守ることで自衛を図るしかない。また、Symantecでは、2つのトロイの木馬を検出する定義ファイルをリリースしており、ユーザーに対し、最新の状態へのアップデートを呼びかけている。 なお過去には、Microsoft WordやExcelに存在する未パッチの脆弱性を狙う攻撃コードが登場していた。マイクロソフトが月例パッチをリリースした直後にこうしたゼロデイ攻撃が仕掛けられていたことから、Symantecでは1つの推測として、攻撃者らはあらかじめ複数の脆弱性を発見しておきながら、攻撃の効果を高めるために月例パッチの直後というタイミングで攻撃を仕掛けているという可能性に触れている。 「一太郎」の脆弱性を狙うトロイの木馬が発生したことを踏まえ、ジャストシステムは18日中に修正用のモジュールをリリースする方針。 民間からCIOとして長崎県庁に入り、8年目。「電子自治体化にかかるコストを大幅に削減せよ」というミッションを与えられ奮闘中だが、自らの経験をもとに、コスト削減に必要な「視点」について考えてみた。 プロシークは求職者を対象に実施したアンケート結果を発表した。コンサルタント、IT、クリエイティブ関連の求職者の50%以上がスカウトを活用していることが分かった。 アプリケーションに見るトラステッド・コンピューティング:ノートPCのデータを絶対に漏えいさせないために FOOキャンプで産声を上げたchumbyは、これまでの情報端末の姿を変える可能性を秘めている。何より、開発元がハッキングを推奨するといういい意味でGeekのためのデバイスとなっているのが素晴らしい。 1年前に投稿されたこの記事。「来年の今ごろになれば、Web2.0などは過去の出来事の1つに成り果てている可能性すらある」と述べられているが、現状と併せて読み進めてみると、幾分の真実が含まれている。 |
キャッシュワンのサイトです。
