情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ » サイバー攻撃手法
- 重要度:
(Wikipedia ゼロデイ攻撃より)
ゼロデイ(英 Zero day)は、脆弱性を解消する手段がない状態で脅威にさらされる状況をいう。
脆弱性が発見されて修正プログラムが提供されるまでの間にその脆弱性を攻略する攻撃は、俗にゼロデイ攻撃などと呼ばれている。概要
元来は、セキュリティーホールが「一般的に知られる前」にハッカーやクラッカーが発見して行うものをゼロデイ攻撃と呼んでいたが、実際には発覚しても、修正プログラムや対策パッチが作られるのに時間がかかる為に、周知されたゼロデイ攻撃も存在する。基本的には対策となるセキュリティーパッチが”作られる前”である事から、対応策は限定されゼロデイ攻撃は「消費者や企業団体を襲うIT関連のすべての脅威の中で、いちばん深刻」であると報じられている。ゼロデイ攻撃は、APT攻撃で組み合わせて使われる事も多い。
事例
2015年1月フラッシュプレーヤーのゼロデイ攻撃
2015年1月13日 フラッシュプレーヤーの脆弱性を修正したバージョン16.0.0.257をリリースしたものの、脆弱性2件が発見され1件を修正したものを22日に緊急公開した。未解決の脆弱性を残しておりIPAからも注意勧告が出されたパッチ提供は1月26日の週になる事が予告され、その間に脆弱性を残したままだった。研究者は「無効にした方がいいかもしれない」と勧告した事が報じされているその後も、新たな脆弱性の発覚は続き、最終的に修正されたのは2月6日だった。
2014年 シェルショック
2014年9月24日(日本時間)Linux等のシェルとして用いられているBashについての脆弱性が公表された(
CVE-2014-6271)。
2014年シェルショック脆弱性IPAから緊急告知が行われた。このシェルはサーバーの管理運営などに使われており、またCGIなどでも基幹部分で使用されていたため影響は巨大であり、サーバーを停止できない企業や、代替となるものが用意できないケースでは、パッチが出るまで対応策が極めて限られ、ケースによってはセキュリティーソフトのシグネチャ更新がくるまで、対応策が無いに等しい状態となり、技術者を大いに困惑させた。この際に行われたゼロデイ攻撃を警察庁は監視し報告書を公開している。この監視と報告書公開は、脆弱性発覚の翌日には第一報が行われており、続けて10月7日にも第二報が公開された。これは、監視している事を示す事によるゼロデイ攻撃の抑止効果を狙ったものとみられる。
対策
共通脆弱性識別子CVEによる情報の整理
米国政府の支援を受けた非営利団体のMITREにより、脆弱性の共通となる番号など(識別子)を付与しそれを公開する試みが行われている。これにより、A社で調査中の脆弱性XとB団体で対応中の脆弱性Zが共通の脆弱性だと認識できる事により、情報の共有が進み、ひいてはパッチ作成の時間などを短縮でき、またユーザーにも認知しやくす、パッチなどのアップデートの必要性など判断しやすくなる事が期待されている。発見された脆弱性には、「CVE-年4ケター番号」と付与され、公式サイトにて確認が取れる。(詳細は脆弱性情報データベースの項目参照)。なお、CVEは英語だが、IPAが順次調査し、重要なものは日本語で警告を発している。
各企業の取り組み
複数の企業により、ゼロデイ攻撃に対応する様々なシステムが提唱され、研究開発が進んでいる。
出題例
- セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
- 特定のサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
- 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。
- 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。
正解
- 総当たり攻撃
- 辞書攻撃
- パスワードリスト攻撃
- レインボーテーブル
- サイドチャネル攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- ディレクトリリスティング
- OSコマンドインジェクション
- 中間者攻撃
- MITB攻撃
- 第三者中継
- DNSキャッシュポイズニング
- DNS水責め攻撃
- IPスプーフィング
- セッションハイジャック
- セッションID固定化攻撃
- リプレイ攻撃
- DoS攻撃
- DDoS攻撃
- EDoS攻撃
- メールボム
- 標的型攻撃
- APT
- 水飲み場型攻撃
- フィッシング
- ワンクリック詐欺
- スミッシング
- ゼロデイ攻撃
- テンペスト攻撃
- ポートスキャン
- ダウングレード攻撃
- フットプリンティング
- SEOポイズニング
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
このページのWikipediaよりの記事は、ウィキペディアの「ゼロデイ攻撃」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。