McAfee Avert Labs Blog
「Zero Day Threats: Part 4 - What’s New and Where Are They Headed?」より
July 2, 2007 Posted by Craig Schmugar

 パート3では,ゼロデイ脅威がいつ,どのように現れるかについて述べた。最終回のパート4は,この1年間に起きた主な出来事を簡単に取り上げ,次に今後1年でどんな状況になるか論じよう。

 ゼロデイ脅威の分野では,過去12カ月に大きな動きがいくつかあった。1年前の7月2日,初めての「Month of Bugs(MO_B)」(バグ月間)活動が始まり,7月中はこの活動を通じて,毎日1件ずつブラウザのセキュリティ・ホールを公開した(関連記事:「ブラウザのセキュリティ・ホールを毎日1件公開する」と研究者が宣言,既に3件が公開)。ここで公開された脅威のほとんどは,それまで公表されていないものだった。多くの研究者がすぐにこの活動に追従し,たくさんの記事が掲載され,注目を集めた。以来,これまで8回のMO_B活動が実施された。無責任に公開されたセキュリティ・ホールの多くは,ゼロデイ脅威であったと考えられる。

バグ月間活動
===========================================
活動名                           実施月
-------------------------------------------
Month of Browser Bugs          2006年7月
Month of Kernel Bugs           2006年11月
Month of Apple Bugs            2007年1月
Month of PHP Bugs              2007年3月
Month of MySpace Bugs          2007年4月
Month of ActiveX Bugs          2007年5月
Month of Search Engine Bugs    2007年6月
===========================================
出典:マカフィー

 この活動は徐々に飽きられるようになり,メディアの注目もほとんどなくなったものの,活動の存在そのものは,背景となるモチベーションの方に焦点を当てている。例えば名声や仲間からの称賛,ベンダー・バッシング,問題の認知度アップなどが挙げられる。ほかより敏感に反応するベンダーもあった。

 最近起きた出来事の一つに,新たなセキュリティ・ツール「Metasploit Framework」のリリースがある(訳注:同ツールの開発者は,Month of Browser Bugsを実施したHD Moore氏である。関連記事:「eVade-o-Matic(VoMM)」は,既存のセキュリティ・ソフトを無効化するか?)。Metasploitについては,Webサイトにこういう記述がある。

 「Metasploit Framework(Metasploit)は,セキュリティ・ツールやエクスプロイット(セキュリティ・ホールを攻撃する悪質なプログラム)を作成するための開発プラットフォームです。バージョン3.0には,エクスプロイット177個,ペイロード104個,エンコーダ17個,nopモジュール3個が含まれます。さらに,ホスト発見プロトコルの総当たり検査やサービス拒否(DoS)の試験など,さまざまな作業に使う補助モジュール30個も備えています」

 このリリースから,エクスプロイット開発の自動化と同時に,ぜい弱性検査ツールも進化していることが分かる。ぜい弱性検査ツールについては,最初のMO_B活動で,総当たり検査ツール「AxMan」がActiveXのバグ20件弱を見つけるのに使われた。一般に総当たり検査ツールは,あるアプリケーションの入力やパラメータを検査するためのプログラムである。総当たり検査は1989年から行われていたが,最近は多彩な深刻度の高いぜい弱性の発見に利用される。Month of Browser Bugs活動の前後にリリースされた総当たり検査ツールは以下の通りである。ほかのMO_B活動で利用された総当たり検査ツールのなかには,もっと最近リリースされたものもある。

総当たり検査ツール
==================================
名称               リリース時期
----------------------------------
AxMan             2006年第3四半期
CSS-Die           2006年第2四半期
DOM-Hanoi         2006年第2四半期
Hamachi           2006年第2四半期
Orphan Objects    2006年第3四半期
==================================
出典:マカフィー

 近ごろの大きな出来事には,インターネット・インフラに狙いを定めたゼロデイ攻撃が実際に見つかったことが挙げられる。「RPC DNS Server Service Vulnerability」(CVE-2007-1748)である(関連記事:Windowsサーバーにゼロデイ攻撃ウイルス、いまだ修正パッチなし)。大規模攻撃に発展した例は多くなかったものの,この攻撃の出現は,状況が変わろうとしていることを示唆している。対象を絞った標的型攻撃は,一般的なアプリケーション(つまり米マイクロソフトのOffice)以外のソフトに拡大し,インターネット・インフラを狙うものが増えるだろう。

 それでは,今後どのような状況になるだろう。

  1. MO_B活動は目新しさが失われ,研究者が新たな知名度の向上手段を探すので,近いうちに衰え始める
  2. エクスプロイット作成ツールの開発は,引き続き活発化する関係者のコラボレーションと活動により,発展していく
  3. 優れたエクスプロイットの流通する市場は拡大を続ける
  4. 今後もWebアプリケーションが主要な攻撃対象であり続ける
  5. インターネット・インフラを対象とする攻撃が増えていく


Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Zero Day Threats: Part 4 - What’s New and Where Are They Headed?」でお読みいただけます。