ゼロデイ脆弱性、ゼロデイエクスプロイト、ゼロデイ攻撃について理解する
開発者であれば、発生防止のために全力を尽くしても、設定ミスやコードの欠陥は起きてしまうものだということをご存じでしょう。 開発中であろうと、アプリケーション、ソリューション、またはデバイスが本番環境で稼働を始めたずっと後であろうと、こうした設定ミスやコードの欠陥、または同様の別のセキュリティ問題が発生した場合、これが攻撃者に見つかり悪用される可能性のある脆弱性を露呈することになれば、悪夢のような事態を招きかねません。
ソフトウェア、アプリケーションまたはデバイスを開発した組織がこの種の脆弱性を把握しておらず、組織が修正の機会を得る前に攻撃者や他の誰かが脆弱性を発見してしまった場合に、その問題はしばしばゼロデイ脆弱性と呼ばれます。
ゼロデイ脆弱性は、その存在を把握していないユーザーや、修正のための適切なパッチやリソースを与えられていないユーザーに大きなリスクをもたらします。
ゼロデイ脆弱性が解決されない限り、攻撃者はその脆弱性を最大限に利用するチャンスを存分に得て、脆弱性を悪用することになり (別名ゼロデイエクスプロイト)、システム、データ、ネットワークにさらなる被害を与える可能性もあります。
このガイドでは、ゼロデイ脆弱性からゼロデイエクスプロイトやゼロデイ攻撃に至るまで、ゼロデイに関するあらゆる事柄について詳しく掘り下げるほか、組織をこの脅威から保護するためにできることについても解説します。
次のような内容がこのページで紹介されています。
ゼロデイ脆弱性の開示をめぐる物語
脆弱性の発見と開示は、現代のサイバーセキュリティの重要な要素です。 調査担当者がこうしたセキュリティ欠陥の発見に時間を割いていれば、攻撃者が先にそのエクスポージャーを発見して利用する前に、ベンダーはパッチの発行などを行って欠陥を修正する機会を得られます。
しかし、これが現在の業界全体の一般的な慣習になっているとはいえ、まだ数多くのアプリケーション、ソフトウェア、デバイスにわたり未開示の脆弱性が大量に存在しています。 特に、この貴重な情報の共有について合意や連携が図られていない状況では、調査担当者とベンダーの双方に課題が生じます。
Tenable のゼロデイ調査チームによるこのホワイトペーパーでは、発見されたセキュリティ問題についてベンダーが聞く耳を持たなかったときの話など、ゼロデイ脆弱性の開示をめぐる困難な経験についてのインサイトが共有されています。
このホワイトペーパーを読むと、ベンダーが次のような態度を取ったとき、Tenable Research がどう対処したのかを知ることができます。
- 発見された脆弱性は対象範囲外、または根拠がないと述べたとき
- ゼロデイ調査担当者に対して敵対的になったとき
また、こうしたやり取りから得られる教訓や、この障壁を乗り越えて前進するためにゼロデイ調査担当者との協力をどのように緊密化していけばよいかについても解説しています。
ゼロデイ脅威の技術的インサイト
ゼロトラストのアプローチでセキュリティを再考する
情報セキュリティについて、オンサイトの IT の周囲に境界線を構築すれば、それで防御については安心していられた時代を覚えていますか? クラウド導入の増加や相互接続が進むデバイスが DX 時代のアタックサーフェスを拡大させている中で、こうした従来のセキュリティ境界線は過去のものとなりました。
ではどうしたらよいでしょうか。アタックサーフェスが拡大と変化を続ける一方で脅威環境は複雑性を増し、攻撃者がこれまでになく巧妙な攻撃手法を取るようになる中で、どうやったらアタックサーフェスの保護を強化できるでしょうか?
そこで役立つのが、ゼロトラストの導入です。 しかし、ゼロトラストとはそもそもどのような意味で、どうすれば最も効果的に適用できるのでしょうか?
まずは「ゼロトラストのアプローチでセキュリティを再考する」をご一読ください。以下について詳細を知ることができます。
- 組織にはなぜゼロトラストが必要か
- ゼロトラストとは何か、なぜ重要なのか
- ゼロトラストの基本原則
- 組織のゼロトラストの取り組みで Tenable が支援できること
ゼロデイ脆弱性
ゼロデイ脆弱性は、修正のためのパッチや更新が存在しないことが多いために、組織にリスクをもたらします。 なぜこのようなことが起きるのでしょうか? よくある理由は、ソフトウェアやデバイスの開発元がセキュリティ問題の存在に気づいていないことです。
組織ではこうした脆弱性を、どのように把握するのでしょうか? セキュリティ調査担当者が攻撃者より先に問題を発見するというのが、最も理想的なシナリオです。 そのために調査担当者がしばしば取る方法は、概念実証 (PoC) を開発して潜在的な脆弱性が存在することを示し、この情報をアプリケーション、ソリューション、またはデバイスを担当する開発者と共有することです。 ここでの目標は、攻撃者が弱点を発見して悪用する前にパッチを素早く公開できるよう、開発者に注意喚起を行うことです。
しかし、攻撃者の一歩先を行くために、組織は他に何ができるでしょうか?
「Tenable 脅威状況レポート」をご一読いただき、ゼロデイ脆弱性と、現代の脅威環境内でのその位置づけ、対処のために何ができるかについての詳しい解説をご覧ください。
ゼロデイ脆弱性についてよくあるご質問
ゼロデイ脆弱性についてご質問があり、どこから始めたらよいか分からない場合は、 こちらのゼロデイについてのよくあるご質問をご覧ください。
ゼロデイ脆弱性とは何ですか?
なぜゼロデイと呼ばれるのですか?
ゼロデイエクスプロイトとは何ですか?
ゼロデイ攻撃とは何ですか?
ゼロデイ攻撃はどのように行われますか?
ゼロデイ攻撃の例には何がありますか?
ゼロデイ脆弱性とゼロトラストには関係がありますか?
ゼロデイ攻撃の背後には誰がいるのですか?
ゼロデイ攻撃では何が標的になりますか?
Tenable Community: 脆弱性からエクスプロイトまでカバーする、ゼロデイ情報の頼れる情報源
ゼロデイ脆弱性やゼロデイ攻撃についてご質問がある場合は、 Tenable Community をご利用ください。このコミュニティは、関心のある専門家同士がつながりを持ち、ゼロデイとゼロトラストに関するあらゆる話題で意見を交わせる最適な場所です。
ゼロデイ脆弱性の検出: CVE に関連するプラグインを探す
ゼロデイ脆弱性の発生は誰も望みませんが、起きてしまうものです。 Tenable には、ゼロデイ脆弱性の特定と報告を専門とする調査チームがあります。 当チームが脆弱性を発見すると、Tenable ではベンダーへの報告、公的機関を通じた脆弱性の公表、脆弱性に対処するためのプラグイン開発を行います。
続きを読むランサムウェア対策: よく行われるエクスプロイト
攻撃者は、ネットワークへの侵入口を求めてリモートアクセスインフラやウェブアプリケーションの欠陥に付け込みます。 脆弱性は、攻撃者が悪用可能なエクスポージャーのことであり、ソフトウェアの欠陥、設定ミス、基本的なヒューマンエラーの形で現れることもあります。 ソフトウェアの脆弱性を最初の攻撃経路として用いるランサムウェアの種類が増えています。
続きを読むCIS Control 2: ソフトウェア資産のインベントリとコントロール
CIS は、「巧妙な一部の攻撃者は、ソフトウェアベンダーがパッチをリリースしていない未知の脆弱性を利用したゼロデイエクスプロイトを使用する可能性がある。 組織内に展開されているソフトウェアについての適切な知識や管理が欠けていれば、防御側は資産を十分に保護できない」と述べています。
続きを読むTenable ポッドキャスト
Foxy Zero Days and MSSP Misery (ずる賢いゼロデイ、哀れな MSSP)
このエピソードでは、Bill と Gavin が Firefox のゼロデイ脆弱性、ランサムウェアが原因で倒産に直面した組織、攻撃経路としての MSSP、C&C Slack の話題を取り上げ、 Tenable Research チームの Matt Everson と Justin Brown も参加します。
今すぐ聴くReviewing 90-Day Responsible Disclosure Policies in 2022 (2022 年の 90 日開示義務ポリシーのレビュー)
責任ある脆弱性開示のために、業界では一般に開示まで 90 日間の猶予が認められています。この期間により、調査担当者はベンダーに情報を提供し、ベンダーは公表前に修正を発行できるようになります。 しかし、期間はそれで十分でしょうか?
今すぐ聴く攻撃者には見えているのに内部から確認できないエクスポージャー
サイバーエクスポージャー管理には、すべての規模の組織が直面する数多くの重大な課題があります。 このポッドキャストのエピソードでは、Tenable のゼロデイ調査チームがチームの主要なセキュリティアドバイザーの 1 人と意見を交わし、自組織のエクスポージャーのレベルの判断、脆弱性の原因の把握、その修正方法の探索をどのように行えばよいかについて詳しくお伝えします。
今すぐ聴くゼロデイのブログ記事
ゼロデイは CVE を待たない
新しい脆弱性を適切に分類して CVE のリリースを作成する前にエクスプロイトが発見されるため、CVE の作成はゼロデイ攻撃に後れを取る可能性があります。 必ずこのようになるとは限りませんが、十分によくある話です。 このブログでは、従来のネットワークスキャナーでは検出できない場合であっても、重大な脆弱性の発見のためにチームが最新のアタックサーフェスマップをどのように役立てられるかについて紹介します。
現在の脅威の状況: 最も注目すべき脆弱性
毎年公開される脆弱性は数千にも上ります。そのため、セキュリティチームにとって、公開される情報に追いつき、自組織への潜在的な影響を理解して、最も重大なものに優先的に取り組む計画を立てることは、ますます困難になっています。 このブログでは、最近発見されたいくつかの脆弱性と、その潜在的な影響について詳しく取り上げます。脆弱性の一般的な特徴と、脆弱性カバレッジを広げるために何ができるかについて理解を深めることができます。
産業制御システム内のゼロデイ脆弱性
調査担当者が Schneider Electric の産業用制御システム (CIS) のゼロデイ脆弱性を開示したとき、現代の重要インフラのエコシステムに存在する数多くのセキュリティ課題のいくつかに関わる、現実のシナリオが浮き彫りになりました。 このブログでは、こうした脆弱性を詳しく見ていくほか、組織が重要インフラ環境の保護を強化するのに役立つ対策をいくつか提示します。
マイクロソフトの 2022 年 11 月月例更新プログラム、62 件の CVE を修正
2022 年の 11 月後半に、Microsoft は実際に攻撃者に悪用された 4 つのゼロデイ脆弱性を含む、 62 件の CVE にパッチを適用しました。 このブログでは、これらの脆弱性がどのようなものか詳しく紹介するとともに、その中でも特に重大度が高くて重要な脆弱性のいくつかについて詳しく取り上げます。また、システムにパッチを適用してこれらの問題に対処するために Tenable プラグインを迅速に使用する方法についてのソリューションを提供します。
ゼロデイ脅威のオンデマンドウェビナー
適切な脆弱性の修復で、セキュリティと IT 間の溝を埋める
長い間、サイバーセキュリティチームと IT チームは組織のサイロ化で隔てられてきました。 この障壁は、企業を混乱に陥れる隙を攻撃者に与える前にセキュリティ問題を解決する目的で、それぞれのチームが価値ある情報を共有して連携することを難しくしています。 このウェビナーでは、セキュリティチームと IT チームの連携を強化して、摩擦を減らし、脆弱性の修正の取り組みを向上させる方法について探ります。
詳細については今すぐご覧ください。
- 組織内のチームが効果的に連携するべき理由と、その連携が修正プロセスに与える良い影響
- 社内のチーム同士がパートナーとして協力関係を深める方法
- 既存の修正プロセスを改善するためのベストプラクティスと戦略
境界外のセキュリティ: ゼロトラストにより速く到達するには
従来の IT セキュリティの境界線は、急速に過去のものとなりつつあります。 現在では、ゼロトラストのセキュリティモデルを採用している (または採用すべき) 組織が増え続けています。 このモデル採用とはつまり、ロールとアクセスレベルだけに基づいてユーザーを信頼する代わりに、すべてのユーザーと資産を潜在的な脅威と見なし、それなりに扱うということです。 このウェビナーでは、拡大と進化を続けるアタックサーフェスの保護を強化するためにゼロトラストがどのように役立つのかを紹介します。
詳細については今すぐご覧ください。
- 信頼を脆弱性と見なすべき理由
- 信頼における Active Directory の役割
- ゼロトラストセキュリティにおけるサイバーハイジーンの役割
- ゼロトラストへの到達を加速する方法
Medium の Tenable Research ブログ
Tenable Research がどのようにゼロデイ脆弱性を発見しているのか、組織によるゼロデイ脆弱性の発見と修正をどのように支援しているのかについての詳細は、 Medium で Tenable Research の技術ブログをご覧ください。最新の CVE の話題から、組織のセキュリティチームと IT チームがうまく連携する方法や、Tenable の製品やサービスの最新情報に至るまで、あらゆるトピックについて詳しく知ることができます。
Tenable One で攻撃経路を排除
組織で所有する資産、その数、所在、用途などについて把握できていなければ、アタックサーフェスにどの脆弱性が存在する可能性があるかについてのインサイトを得ることは困難であり、 資産の相互接続性に関するインサイトも得られません。また、特に組織での検出に至っていないゼロデイ脆弱性が利用された場合に、攻撃者がその弱点をどのように悪用して、しばしば気づかれることなくアタックサーフェス内を探索する可能性があるのかについてのインサイトも得られません。
Tenable One は、セキュリティチームがすべての資産の相互接続性を把握して、攻撃者が脆弱性の悪用のために利用する可能性がある潜在的な攻撃経路を可視化できるように支援します。 Tenable One を使用することで、ソフトウェア開発ライフサイクル中にセキュリティ問題を特定するなど、アタックサーフェス内のあらゆるものを可視化して攻撃者の一歩先を行くことができます。