「未修正の脆弱(ぜいじゃく)性を悪用するゼロデイ攻撃が増えている。企業のセキュリティが向上しているため、ゼロデイでないと対策をすり抜けられないためだ」。米国のセキュリティ組織「サンズ・インスティチュート」のフェローを務めるエリック・コール氏は2010年7月28日、NRIセキュアテクノロジーズが開催した説明会において、ゼロデイ攻撃の現状や対策について解説した(写真1)。
コール氏によれば、以前と比べると、企業の脆弱性対策は大幅に向上しているという。「5~6年前なら、修正パッチが公開されてから6カ月が経過した脆弱性でも、きちんと修正していない企業が多かった。このため、既知の脆弱性を悪用する攻撃でも十分“通用”した」(コール氏)。
ところが最近では、「修正パッチが公開されてから6~8週間もすれば、多くの企業は対応済みで、悪用が難しくなっている」(コール氏)。そこで攻撃者は、攻撃を“成功”させるために、未修正の脆弱性を悪用するようになっているという。
「現在では、攻撃者は“ステルス性”を重視。攻撃していることを極力知られないようにしている。既知の脆弱性を突く攻撃では、セキュリティ製品に検出される可能性が高い。しかしゼロデイの脆弱性を悪用すれば、攻撃が成功する可能性が高まるとともに、攻撃していること自体を検出されにくくできる」(コール氏)。
一般のユーザーでもできる「ゼロデイ攻撃対策」として、サンズ・インスティチュートのシニアインストラクターを務めるマイク・プア氏は、ウイルス対策ソフトなどの利用に加え、パソコンに複数のアカウントを設定して使い分けることを勧める(写真2)。
「例えば、管理者ユーザー以外に制限ユーザーを設定し、通常は、権限が制限されたユーザーアカウントを使うようにする。どうしても必要な場合以外には管理者ユーザーでログインしない。こうすれば、ゼロデイ攻撃などでユーザー権限を乗っ取られても、被害を最小限にとどめることができる」(プア氏)。
コール氏も同意見だ。「インターネットアクセスなどに使用するアカウントは『ハイリスクアカウント』として、できるだけ安全性を高めておいた方がよい」(同氏)。
ハイリスクアカウントでは、できることを制限することに加え、不要なソフトウエアはすべて削除しておくことを薦めている。それにより、「攻撃を受ける“表面積”を小さくできる」(コール氏)。ほとんど利用していないソフトウエアの脆弱性が悪用されて被害に遭うことは少なくないという。
