ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
ゼロデイエクスプロイトは近年至る所でニュースになっており、米国と欧州連合(EU)内の脆弱なネットワークインフラへの攻撃を行ったとして特定の政府が非難される事態となっています。最近では、アプリケーションのエラーメッセージをログに記録するためのJavaライブラリであるLog4jで、重大なインターネットのゼロデイ脆弱性が発見されました。このライブラリはApache Software Foundationによってオープンソースで開発されており、さまざまな組織がさまざまな用途に使うことのできるユビキタスなソフトウェアであるため、この脆弱性は何百万ものコンピューターに影響を与える可能性が高いと考えられています。
ところで、ゼロデイエクスプロイトとは正確には何のことを指し、それがどのように機能し、誰に影響がおよぶのでしょうか? 今こそこれらの質問に答え、これらのタイプのWeb脅威から組織を保護するために必要なことを共有すべきときです。
ゼロデイエクスプロイトは、ソフトウェア、ファームウェア、オペレーティングシステム、Webアプリケーション、Webサイト、またはSoftware as a Service(SaaS)プラットフォームに存在する、それまで知られていなかった脆弱性を攻撃者が利用した結果起こるものです。その最終的な目標は、マルウェアをデバイスにダウンロードさせることでランサムウェアを配信したり、ハードディスクをクラッシュさせたり、他の脆弱なターゲットを探してネットワーク全体に拡散させたりすることです。
実際に起きた例として、SolarWindsの侵害を紹介しましょう。これは大規模なサイバーセキュリティ攻撃で、ロシアが支援する攻撃者によって行われたと考えられており、ゼロデイエクスプロイトを使用して米国および欧州連合の企業および政府のシステムとデータにアクセスしました。この攻撃ではSolarWindsライブラリのバックドアが悪用され、企業のOrionソリューションの正規のソフトウェアアップデートに悪意のあるコードを挿入しました。これにより、攻撃者はネットワークへの信頼された高度な特権アクセスを可能にする、新しいトークンを偽造することができました。被害者にはMicrosoft、サイバーセキュリティベンダーのFireEye、そして米国政府が含まれていました。この攻撃によってデータが盗まれた上、さらに予防的措置としてシステムをオフラインにした上で数か月にわたる修復を行う必要がありました。30,000人を超えるSolarWindsの顧客が侵害されたかどうかを確認するためです。
攻撃者は膨大な量のリソースを費やして多くの人が使うテクノロジー製品をリバースエンジニアリングし、コードの脆弱性を見つけ出して悪用します。これらのハッカーグループの多くは特定の政府によって支援、保護され、場合によっては財政的支援を受けています。特に有用なターゲットは、重要なインフラへのリモート管理アクセスを提供するネットワークソフトウェアです。
そもそもその定義からして、ゼロデイエクスプロイトを検知することは困難です。その存在を知ることができれば、ベンダーはパッチを作ることができます。これらのエクスプロイトは、それらが知られるまでは知られていないのです。ほとんどのベンダーは、ソフトウェアの脆弱性を見つけてそれを教えてもらい、修正するためにホワイトハッカーに頼っています。ブラックハットハッカーは、それと同じ倫理規定の下で活動してはいません。悪用できるコードを見つけた場合、脆弱性を利用するか闇市場で販売して利益を得るまで、それを秘密にしておくのです。そのため、既知のインテリジェンスに基づいて検知と対応を行うレガシーなサイバーセキュリティソリューションでは、このタイプの攻撃に対応するのは困難です。知らないことは検知できないのです。
正直なところ、できることはそれほど多くはありません。自社のソリューションを安全に保っている、信頼できるベンダーとしかビジネスを行わないというのは、確かにひとつの方法です。しかし、セキュリティ的に最も強化されたコードにも、脆弱性は存在します。企業ができることのなかで最善のものは、攻撃者がユーザーのデバイスに直接アクセスできないようにすることです。労働力の分散化が進む中、Webアイソレーション技術を活用するセキュアWebゲートウェイ(SWG)を介して高度に分散されたインフラを保護することが、これまで以上に重要になっています。
アイソレーション技術を活用したセキュアWebゲートウェイ(SWG)には、既知の悪意のあるサイトのブロックや利用ルールの適用などのWebトラフィックに対する標準的な制御が備わっています。このSWGをアイソレーション技術と組み合わせることで、ユーザーとインターネットの間に新しい抽象化レイヤーがクラウド上に作成されます。Webサイト、Webアプリ、SaaSプラットフォーム、およびその他のWebコンテンツのコードは、エンドデバイスではなくクラウド上のリモートブラウザーで取得され実行されます。たとえ脆弱性が存在したとしても、攻撃者がWebブラウザーにアクセスできなければ、悪意のあるコンテンツをユーザーのデバイスにアップロードする手段が無いということになります。これにより、正当なWebコンテンツをブロックしてしまったり、ユーザーの生産性に影響を与えたりすることなく、マルウェアやランサムウェアをシャットアウトすることができます。
