「ゼロデイ」の定義

「ゼロデイ」という用語は、セキュリティチームがソフトウェアの脆弱性に気づいておらず、問題を修正するためのセキュリティパッチや更新をまだ適用できない(「0」日目)場合に使用されます。一般に「ゼロデイ」は、脆弱性エクスプロイト脅威などの用語と関連しています。これら用語の違いを理解する必要があります。

  • ゼロデイ脆弱性とは、脅威アクターが悪意のあるコードを使用して攻撃できる未知のセキュリティ脆弱性やソフトウェアの欠陥のことです。
  • ゼロデイエクスプロイトとは、悪意のあるアクターが脆弱性を利用してシステムを攻撃するために使用する手法または戦術のことです。
  • ゼロデイ攻撃は、ソフトウェア開発者が不具合にパッチを適用する前に、ハッカーがマルウェアをリリースしてソフトウェアの脆弱性を悪用するときに発生します。

詳細情報

ゼロデイ攻撃は、未知の攻撃であり、検知が非常に困難で、深刻なセキュリティリスクとなるおそれがあるため、クラウドワークロードにとって非常に危険です。この攻撃は、うっかり鍵をかけ忘れた裏口のドアから泥棒に忍び込まれるのに似ています。クラウドストライクによるクラウドワークロードの防御方法を読む

ゼロデイの例

以下に、過去数年間で確認された既知の脆弱性の例をいくつか示します。

Kaseya攻撃

7月2日金曜日、REvilランサムウェアオペレータは、Kaseyaの顧客のインフラストラクチャを監視および管理するために使用されるKaseya VSAソフトウェアを侵害することに成功しました。Kaseyaの公式声明によると、REvilランサムウェアオペレータはゼロデイ脆弱性を利用して悪意のある更新プログラムを配信し、60人未満のKaseyaの顧客と1,500社の川下企業を攻撃しました。読む >

SonicWall VPNの脆弱性

2021年2月4日、SonicWallの製品セキュリティインシデント対応チーム(PSIRT)は、同社のSMA(セキュアモバイルアクセス)デバイスに影響を与える新しいゼロデイ脆弱性CVE-2021-20016を発表しました。そのドキュメントの中で、SonicWallは、この新しい脆弱性がSMA 100シリーズ製品に影響を及ぼし、10.xファームウェアを実行しているバージョンは更新する必要があると述べています。SonicWallは、この最新のエクスプロイトが、まだ本番環境にある古いSRA VPNデバイスに影響を及ぼすかどうか、またはどのような影響があるかについては述べていません。読む>

MSRPCプリンタスプーラーリレー(CVE-2021-1678)

2021年1月12日火曜日のパッチで、MicrosoftはCrowdStrike®の研究者が発見した重大な脆弱性であるCVE-2021-1678のパッチをリリースしました。この脆弱性を利用すると、攻撃者はNTLM認証セッションを攻撃対象のマシンに中継し、プリンタスプーラーのMSRPCインターフェースを使用して、攻撃対象マシンでコードをリモートから実行することができます。

Zerologon

2020年8月11日、Microsoftは、Securaの研究者が発見したNETLOGONプロトコルの重大な脆弱性(CVE-2020-1472)に対するパッチを含むセキュリティ更新プログラムをリリースしました。当初、技術的な詳細が公開されていなかったため、セキュリティ更新プログラムのCVEは、最大CVSSスコアが10であったにもかかわらず、それほど注目されませんでした。

この脆弱性を利用すると、ドメインコントローラにネットワークアクセスできる不正な攻撃者は、脆弱なNetlogonセッションを確立し、最終的にドメイン管理者特権を得ることができます。この脆弱性は、エクスプロイトを成功させる唯一の要件がドメインコントローラと接続できることであるため、特に深刻です。

Zerologonの技術分析を読む

NTLMの脆弱性

2019年6月火曜日のパッチで、Microsoftは、Preempt(現CrowdStrike®)の研究者が発見した2つの脆弱性CVE-2019-1040とCVE-2019-1019のパッチをリリースしました。この重大な脆弱性は、NTLM(Microsoft独自の認証プロトコル)の3つの論理的な欠陥から成るものです。Preemptの研究者は、すべての主要なNTLM保護メカニズムをバイパスすることができました。

こうした脆弱性により、攻撃者は任意のWindowsマシンで悪意のあるコードをリモートで実行したり、ExchangeやADFSなどのWindows統合認証(WIA)をサポートするHTTPサーバーを認証したりすることができます。このパッチを適用していないすべてのWindowsバージョンが攻撃を受けやすくなります。

この脆弱性が発見された経緯を見る

Stuxnet

最も有名なゼロデイ攻撃の1つは、Stuxnetです。この攻撃は、イランの核計画に相当な損害を与えたと考えられているワームです。このワームは、Microsoft Windowsオペレーティングシステムの4つの異なるゼロデイ脆弱性を利用しました。