「Zero Day Threats, Part 1: What They Are, and What They’re Not」より
June 11, 2007 Posted by Craig Schmugar
筆者はMcAfee Avert Labsで活動した過去7年間,さまざまな業務を担当してきた。最近では,日々発生する脅威に対処する作業から離れ,中長期的な脅威の情報収集に注力している。セキュリティに関する脅威予報も業務に含まれる。将来訪れる可能性がある状況を予想するために,脅威の傾向に関する情報と,今後影響を与えるであろう要素を集めて分析するのだ。結果として得られたデータは顧客が利用し,将来に向けた計画の立案や,より賢明な投資の実行,リスクの軽減に役立てられる。こうした情報は,当社製品の推進や開発にも利用される。
少し前から筆者が分析している対象は,ゼロデイ脅威である。脅威について検討する際,まずは脅威を定義する作業から取りかかる。ゼロデイという用語は,長年さまざまな対象に用いられてきた。セキュリティ・ホールや悪質なコード,ウイルス,トロイの木馬,さらにはスパムやフィッシングにも使われる。筆者はゼロデイ脅威を以下のように定義する。
セキュリティ・ホールの存在が公表されたのと同じ日に,それを悪用するための情報が一般に出回っている状態
この定義において,セキュリティ・ホールを悪用する情報は,実在するマルウエアどころか,実証コードである必要すらない。ただし,誰かが自力でセキュリティ・ホールを見つけ出し,悪用コードを作れるほど詳しい技術的情報は最低限必要だ。
ゼロデイの定義は人によって少しずつ違いがあるが,私のは以下のものはゼロデイ脅威からは除外して考えている。
-
新たに公表されたセキュリティ・ホールを悪用しないマルウエア,スパム,フィッシング
新たなマルウエアをゼロデイ脅威とみなす人々は,「ゼロデイ防御」という考えを主張する。これに対し我々は,以前から「予防的防御」という用語を使っている。 -
関係するベンダーにのみ報告され,公表されていないセキュリティ・ホール
ベンダーは,ゼロデイ脅威になり得るセキュリティ・ホールの報告を受け取った際に“予告アドバイザリ”(セキュリティ情報)を発行する。ただし,悪用するのに十分な詳細情報が発表されていなければ,ゼロデイ脅威に該当する公表ではないと考えている。
先ごろインスタント・メッセージング(IM)ソフトウエア「Yahoo! Messenger」で見つかった2件のセキュリティ・ホールは,興味深い事例だった。Ryan Naraine氏は自身のブログで,米ヤフーに対して好意的な記事を書いた。米イーアイ・デジタル・セキュリティは,このセキュリティ・ホールを発見してヤフーに報告してから,“予告アドバイザリ”を発行した。そして,ヤフーのある広報担当者がうっかり機密情報を漏らし,公表されていない新たな詳細情報を公にしてしまった。
その詳細情報に,その時点でゼロデイ脅威と呼ぶのに十分な詳しい内容が含まれていたなどというつもりはない。しかし,セキュリティ研究者ならば,1時間も調べればこの情報からセキュリティ・ホールを見付けられただろう。そうした調査の結果,実証コードがセキュリティ関連メーリング・リストFull Disclosureに投稿され,ゼロデイ脅威となった。その後すぐ,別の悪用コードがFull DisclosureのWebサイトに投稿され,実際に攻撃も確認された。
もっとも,この脅威に関してはゼロデイという時間的な条件は大した問題ではない。ヤフーのユーザーが危険にさらされ,実際に攻撃を受けた。ヤフーは48時間という驚くほど短い時間で対策パッチをリリースしたが,パッチを適用していないユーザーはまだ何千人もいるはずだ。
ゼロデイ脅威に関しては,書くべきことがたくさん残っている。続きはパート2(7月掲載予定)を読んでいただきたい。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Rich Text Malware」でお読みいただけます。
