【記録】ゼロデイ攻撃について

１．ゼロデイ攻撃とは

「ゼロデイ攻撃」って聞いたことありますか。

私はQiitaやニュース、リアルタイム検索等々で知ったのですが、初心者としても結構興味深くて、少し検索してみてからここに残します。

「ゼロデイ攻撃」は簡単に言うと、外部の脅威に漏洩されている脆弱性が発見されてそれに対する修正パッチが配布されるんですけど、そのアップデートパッチが適用される前に当該脆弱性を悪用し行う攻撃だそうです。

出展：https://news.yahoo.co.jp/articles/2feed3010f3134bede88166ff8bf7f4816640b54

出展：https://news.yahoo.co.jp/byline/shinoharashuji/20190210-00114320

２．攻撃事例

最近の事例をみるとGoogle ChromeやiOSなど、結構メジャーなソフトウェアでもインシデントが発生しているし、過去にはConfluence, Kaseya VSA, MS Exchangeなどでもインシデントがあったらしいです。

３．対処方法

本当にあっという間なので、ベンダーから公開されるアップデートをできるだけ早く適用することが一応は基本的な対処法と呼ばれていますが、
もし脆弱性やアップデートの存在について知らない状態なら、困りますね。

ゼロデイ攻撃は個人や法人どっちでも危険だけど、どっちかというと重要な情報が多い企業や公共機関の方がもっと脆弱だといえます。

普段、企業は脆弱性スキャナーを用いて措置対象を選別しますが、全てのサーバーを対象に１つずつスキャニングを行うにはなかなか時間が足りないですよね。

アップデートパッチがあるか把握して適時に適用することを排除して、個人や企業の方から取れる措置について探してみたら、大きく２ステップに略すことができると受け取りました。

１．脆弱性を認知する

ゼロデイ攻撃を防ぐためにはまず、使用中の製品やソフトウェアに関する脆弱性があるかちゃんと確認しておかなければなりません。

出展：https://www.facebook.com/ipaprjp/photos/a.181667635316571/181936631956338/?type=3

代表例としては「IPA(独立行政法人 情報処理推進機構)」から脆弱性情報ポータルを発信しているそうです。でもそれだけをみると自分・自社に必要な情報のフィルタリングが難しいかもしれないので、ITニュースやツイッターなどで得る情報を参考にしてみればいいかなって思います。

２．OSINTを用いて脅威にさらされた資産を把握する

特定製品に対する脆弱性について認知していたら、その情報を活用して脅威にさらされている様々な資産を把握できます。それを可能にさせるのがOSINT(Open Source Intelligence)検索サービスだそうです。

脆弱性(CVE)の情報を用いて脅威にさらされた資産を見つけ出せるSecurity OSINT検索エンジンサービスの一種である「Criminal IP (criminalip.io/ja)」

Criminal IPで脆弱性に関する資産を検索した結果の画面

関係ある重要な資産をいちいち検討することなく、それについて検索するだけで脅威にさらされている、だから今すぐなんらかの措置を取らなければならないという資産の把握が早めにできるようになります。

実際に検索してみると、表にある資産だけでなく、把握が難しい放置されている資産や知らず知らずのうちにオープンされていたポートまで検知することができるそうです。何に対してどんな措置を取ればいいんだ、と決まっていると、必要に合わせて早く対処することができるでしょう。

下にリンクを加えますんで、興味あればいろいろ検索してみてください。

• https://www.criminalip.io/ja/asset/search?query=cve_id:%20cve-2022-41082

サイバーセキュリティに対しては、ある脆弱性や脅威に対処してもそのあとですぐ新たな脅威が出てくるので、「完璧・完全」がなく、きりがない分野だといわれるんですけど、ゼロデイ脆弱性も同様です。大事な資産を守るためには事前に潜在する危険性を認知し、できるだけ早く対処できる環境を整えるのが重要ではないかと思います。

p.s. 書けば書くほど文がめちゃくちゃになる😢 ただのつぶやきも難しいですね…　頑張らないと　ᕦ(ò_óˇ)ᕤ