HOME情報セキュリティ情報セキュリティ対策ウイルス対策修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について

本文を印刷する

情報セキュリティ

修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について

第10-08-176-1号

最終更新日:2010年 1月22日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

 最近、修正プログラム提供前の脆弱性を悪用してウイルス感染させる攻撃「ゼロデイ攻撃」が増加しています。特に、特定の組織や人をターゲットとする「標的型攻撃」と組み合わせることで、ウイルスを仕込んだメールの添付ファイルを開かせたり、メール本文に記載されたURLをクリックさせて、ウイルスに感染する仕掛けをしたウェブサイトに誘導するといった攻撃が行われています。

2009年12月から多数報道されている、「正規のウェブサイトを参照したらウイルスに感染する」という事件や、2010年1月に報道されている、Google等に対する標的型攻撃においても、Adobe Reader や Internet Explorer の脆弱性が悪用されたという情報があります。

 IPA は、ソフトウェアの提供元(ベンダー)から公開される脆弱性情報を分析して、緊急性が高いと判断したものを「緊急対策情報」として発信しています。2009年4月以降、15件の緊急対策情報を発信しましたが、その全てが、修正プログラムの公開前に、攻撃に使われていたり、すぐ攻撃に使われそうな攻撃コードのサンプルが公表されているというものでした。
 脆弱性情報が公開されたら速やかに対応することが脆弱性対策の基本ですが、上述のようにその時点で修正プログラムが提供されていないこともあります。その場合、ベンダーから一時的な回避策が提示されている場合が多いので、その回避策の適用について検討することが重要です。

 IPA ではゼロデイ攻撃について従来から注意喚起を実施していますが、最近になって増加してきているので再度注意喚起を行ないました。以下の脆弱性対策の基本を正しく理解してゼロデイ攻撃からパソコンなどを守るようにしましょう。

 

(ご参考)

「マイクロソフト セキュリティ情報 MS10-002 - 緊急」 (マイクロソフト社)

 http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx

「Internet Explorer の脆弱性(MS10-002)について」(IPA)

 http://www.ipa.go.jp/security/ciadr/vul/20100122-ms10-002.html

「Adobe Reader および Acrobat の脆弱性(APSB10-02)について」(IPA)

 http://www.ipa.go.jp/security/ciadr/vul/20100113-adobe.html

「Adobe Reader 及び Acrobat の脆弱性に関する注意喚起」(JPCERTコーディネーションセンター)

 http://www.jpcert.or.jp/at/2010/at100003.txt

情報詐取を目的として特定の組織に送られる不審なメールの相談窓口
「不審メール110番」(IPA)

 http://www.ipa.go.jp/security/virus/fushin110.html

近年の標的型攻撃に関する調査研究-調査報告書-(IPA)

 http://www.ipa.go.jp/security/fy19/reports/sequential/index.html

「 知っていますか?"ゼロデイ攻撃" ― 脆弱性対策の基本を理解しましょう ―」(IPA)

 http://www.ipa.go.jp/security/txt/2009/08outline.html#5

(1) 「脆弱性」とは?

 Windows や Mac OS などの OS やアプリケーションソフトの、セキュリティ上の弱点のことを脆弱性(vulnerability)と言います。脆弱性が解消されていない状態で、その脆弱性を悪用した攻撃を受けた場合、被害に遭うおそれがあります。脆弱性を悪用した攻撃への基本的な対策は、修正プログラムを適用し、脆弱性を解消することです。
 IPA が従来から推奨している基本的なセキュリティ対策は、脆弱性を解消することと、ウイルス対策ソフトを最新の状態で使用することです。これはどちらか一方ではなく、両方を実施していないと効果がありません。たとえウイルス対策ソフトを最新の状態で使用していたとしても、脆弱性を解消していなければ、思いもよらない方法で外部からの侵入を許すことになる、ということです(図1-1参照)。

図1-1:脆弱性を解消していないパソコンを家に例えた場合のイメージ図
図1-1:脆弱性を解消していないパソコンを家に例えた場合のイメージ図

(2) 「ゼロデイ攻撃」とは?

 「ゼロデイ攻撃」とは、あるソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します(図1-2参照)。

図1-2:「ゼロデイ攻撃」
図1-2:「ゼロデイ攻撃」

 以下に、具体的な事例として、2009年7月に確認された「Microsoft Video ActiveX コントロールの脆弱性」(MS09-032)を例に「ゼロデイ攻撃」を説明します。

<時系列>
[発生日不明]
 今回の脆弱性を悪用した攻撃が発生した(図1-3の(1))。
[2009年7月6日(米国時間)]
 今回の脆弱性を悪用した攻撃の発生が確認され、マイクロソフト社より「Microsoft Video ActiveX コントロールの脆弱性」(MS09-032)に関する脆弱性情報が公開された。この時点で修正プログラムは提供されなかったが、暫定措置として攻撃の回避策が提示された(図1-3の(2))。
[2009年7月14日(米国時間)]
 マイクロソフト社より、MS09-032に関する脆弱性情報の更新と、修正プログラムが提供された(図1-3の(3))。

図1-3:脆弱性MS09-032への対応状況<時系列推移>
図1-3:脆弱性MS09-032への対応状況<時系列推移>

 今回の事例は、実際に脆弱性情報が公開される前に攻撃が発生していました(図1-3の(1))。パソコン利用者は2009年7月6日の脆弱性情報の公開時(図1-3の(2))に提示された回避策を知ってすぐに実施し、その後の2009年7月14日の脆弱性情報の更新時(図1-3の(3))に提供された修正プログラムをすぐに適用していれば、攻撃を防御できました。
 しかし、脆弱性情報が公開されたことを知らなかったために、脆弱性対策を実施出来なかったパソコン利用者は、攻撃を受けていた可能性があります。
 次項で説明する注意点を参考に「ゼロデイ攻撃」への対策を実施してください。

(ご参考)
「Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される」(マイクロソフト社)
 http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

「マイクロソフト セキュリティ情報 MS09-032 - 緊急」(マイクロソフト社)
 http://www.microsoft.com/japan/technet/security/bulletin/MS09-032.mspx

「Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について」(IPA)
 http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

「情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む」(IPA)
 http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdfPDF
    巧妙化する標的型攻撃 (4頁)
    誘導型攻撃の顕在化  (18頁)

 

(3)「ゼロデイ攻撃」を受けないための注意点
 「ゼロデイ攻撃」を受けないためには、ベンダーから公開される脆弱性情報を十分理解し、適切に対応することが重要です。IPA などが発信する「緊急対策情報」や JVN などの脆弱性情報ポータルサイトも参考にしてください。(2)の事例のように、脆弱性情報の公開時には修正プログラムが提供されていない場合でも、一時的な回避策が提示されていることがあります。ただし、実施することで特定のサービスが利用できなくなるなどの影響が出る場合がありますので、実施する際は十分注意が必要です。万が一具体的な回避策が提示されない場合は、当該ソフトウェアを一時的に使用しないなどの対応が有効です。その後、正式な修正プログラムが提供された際には、直ちに適用することも忘れないでください。
 以上のように、脆弱性に適切に対応するためには、日頃から脆弱性情報を収集することが重要です。また、併せてウイルス対策ソフトを最新の状態で使用し、攻撃を防御することも重要です。
 以下に有効な情報収集の方法を示します。

(i)メールマガジンを利用した情報収集

 パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどがメールマガジンのサービスを提供している場合、それを利用することで、負担なく脆弱性に関する情報を得ることができます。マイクロソフト社の場合は、以下の URL からメールマガジンの購読申し込みが行えます。
 また、IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信するとともに、メールマガジンでその情報を配信しています。

 

(ご参考)

「セキュリティ ニュースレター」(マイクロソフト社)

 http://technet.microsoft.com/ja-jp/security/cc307424.aspx

「情報処理推進機構 新着情報メール配信」(IPA)

 http://www.ipa.go.jp/about/mail/

 

(ii)ウェブサイトからの情報収集

 パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどのウェブサイトで、脆弱性に関する情報が得られる場合がありますので、定期的に参照することをお勧めします。マイクロソフト社の場合は、以下の URL が参考になります。
 また IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信しています。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している JVN などの脆弱性情報ポータルサイトも参考になります。

 

(ご参考)

「セキュリティ TechCenter」ITプロフェッショナル向け(マイクロソフト社)

 http://technet.microsoft.com/ja-jp/security/default.aspx

「セキュリティ At Home」一般家庭向け(マイクロソフト社)

 http://www.microsoft.com/japan/protect/default.mspx

「緊急対策情報・注意喚起 一覧」(IPA)

 http://www.ipa.go.jp/security/announce/alert.html

「JVN(Japan Vulnerability Notes)」(脆弱性情報ポータルサイト)

 http://jvn.jp/

 

(iii)補足・解説記事

 その他の方法として、ニュースサイト(特に IT 系)やポータルサイトに掲載される記事を参考にすることが挙げられます。脆弱性に関する情報が掲載されることがありますので、そこから有益な情報が得られる場合もあります。

(4) 「ゼロデイ攻撃」を受けてしまったことに気がついたときは

パソコンの動作が異常になり、調査の結果、特定のメールの添付ファイルを開いたり、特定のウェブサイトを参照したりすることがきっかけと判明し、パソコンのOSやアプリケーションが最新版であった場合は、ゼロデイ攻撃の可能性があります。
その場合、当該OSやアプリケーションのベンダーに連絡したり、利用しているセキュリティ対策ソフトのベンダーに相談することをお勧めします。

IPAの相談窓口は、次の通りです。

(i) 電話による相談窓口(IPA)
   TEL: 03-5978-7509
     対応時間: 平日 月曜~金曜 10:00 ~ 12:00 及び 13:30 ~ 17:00
    (音声ガイダンスの番号指定で「#」を押せば、オペレータに接続します。)

(ii) 電子メールまたはファクシミリによる相談窓口
     対応時間: 24時間受付ますが、回答は翌営業日以降になる場合があります。
   E-mail:virus@アイピーエー.go.jp
    (窓口専用。このメールアドレス宛てに添付ファイル付きのメールを送られても、
     相談窓口側では安全確保のために添付ファイルを開きません)

     (このメールアドレスに特定電子メールを送信しないでください)
   FAX:03-5978-7518

なお、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)では、コンピュータセキュリティインシデントに関し、国内外の関係機関と連携して、 たとえば、攻撃元や攻撃により窃取した情報が送信される先として利用される海 外のコンピュータリソースの管理者等に対して活動停止を求める調整を行ってい ます。仮に、ゼロデイ攻撃を受けてしまったことに気がついた場合には、被害の 拡大防止のため、JPCERT/CCへの情報提供をご検討ください。

JPCERT/CCへのインシデント報告

 https://www.jpcert.or.jp/form/

更新履歴

2010年 1月22日 序文の関連情報(ご参考)を修正
2010年 1月18日 掲載