ゼロデイ脆弱性

読み方 : ぜろでいぜいじゃくせい

英語正式表記 : Zero-Day Exploit/Zero-day Vulnerability

ゼロデイ脆弱性とは

ゼロデイ脆弱性は、OSやアプリケーションといったソフトウエアの不具合や欠陥(脆弱性)のなかで修正プログラムが提供されていないものを指す。

2013年下期には、Internet Explorer(IE)のゼロデイ脆弱性を突く攻撃が相次いだ。ゼロデイ脆弱性を突く攻撃(ゼロデイ攻撃)は、ソフトウエアを最新の状態にしていても攻撃を受けてしまう。ウイルス対策ソフトを導入していても攻撃を検知できない場合が多い。企業のシステム担当者はゼロデイ脆弱性への対応を事前に考えて、準備しておく必要がある。

脆弱性は、誰に発見されるかによって、その後の状況や対処方法が大きく変わる。

まず、ソフトウエアの開発者が発見したり、セキュリティベンダーやユーザーなどの善意の第三者が発見して開発者に報告したりした場合は、開発者が修正プログラムを作成してから脆弱性を公開することがほとんどだ。修正プログラムを作成する前に脆弱性を公開しないのは、ゼロデイ脆弱性を広く知らせてしまい、悪意を持つ第三者(攻撃者)がその情報を基に攻撃を仕掛ける恐れがあるからだ。

一方、攻撃者が脆弱性を見つけたときは、ゼロデイ状態が長く続いて被害が拡大しやすい。攻撃者が攻撃を実行して初めて脆弱性の存在が明らかになることが多いからだ。開発者は攻撃が見つかってから修正プログラムを作成するので、ゼロデイ状態が長くなる。なお、攻撃者だけが発見した状態など、広く存在を知られていない脆弱性を「未知の脆弱性」と呼ぶ。

ソフトウエアベンダーは、ゼロデイ攻撃を受けている脆弱性でも、その情報は修正プログラムが完成するまで公開しないことが多い。しかし2013年8月に攻撃が見つかったIEのゼロデイ脆弱性は、修正プログラムの提供は10月だったが、マイクロソフトは9月に脆弱性情報を公表した。修正プログラムを用意できなくても、攻撃による被害が甚大だったり、攻撃の緩和策を用意できたりしたときは、注意喚起のために公表される。

脆弱性への対応は、ゼロデイでなければなるべく早く修正プログラムを適用して、脆弱性を解消しておく必要がある。修正プログラムがあっても適用していなければ、攻撃を受けやすくなってしまう。サイバー攻撃の半数以上は、修正プログラムが提供されている既知の脆弱性によって引き起こされているといわれる。

ゼロデイ脆弱性のうち、未知の脆弱性を突く攻撃を防ぐのは難しい。未知の脆弱性に有効な対策としては、一般に「サンドボックス型」と呼ばれる仮想環境を利用したセキュリティ機器やソフトなどがある。

一方、広く知られているゼロデイ脆弱性では、ソフトウエアベンダーが攻撃を緩和する対策を用意している場合がある。緩和策とは、ソフトウエアの機能を一部無効にしたり、通信を止めたりして攻撃を実行しにくくするものだ。

また代替が効くソフトウエアがあるときは、一時的に別のソフトウエアで代用するという方法もある。例えばIEのゼロデイ脆弱性が見つかったら、一時的にGoogle ChromeやFirefoxといった別のWebブラウザーを使う。しかしこの場合は、代用するソフトウエアで業務システムが正常に稼働するかどうかあらかじめ確認しておく必要がある。

出典:ITpro「今日のキーワード」(C)日経BP社

[2014年 2月 5日 公開]

課題解決に役立つ資料集「ITライブラリー」

じっくり検討いただけるよう、多種多様なおすすめ資料を取りそろえています。

大塚商会の法人向け通販サイト(たのめーる)のご紹介