サイバーセキュリティにおけるエクスプロイト

エクスプロイトの定義

エクスプロイトまたは脆弱性とは、ソフトウェア、情報、あるいは命令の連なりであり、弱点を突いて予期しない動作を引き起こしたり、機密情報へ不正にアクセスするために使用されます。こうした脆弱性が発見されると、Common Vulnerabilities and Exposures (CVE) に公開されます。CVEは、特定の弱点に標準化された識別子を与えることで、世界中のネットワークセキュリティとデジタルの柔軟性向上に寄与する、無料のデータベースです。

‍

エクスプロイトと脆弱性の違い

脆弱性とエクスプロイトの違いとは何か。前述の通り、脆弱性はシステムやネットワーク内の欠陥であり、不正な攻撃者やプログラマーが侵入する口となります。つまり、脆弱性が建物の窓だとすれば、エクスプロイトはその窓にたどり着くための梯子や踏み台のようなものです。エクスプロイトは、特定の脆弱性を悪用する手段であり、脆弱性がなければ利用できるものはありません。

すべての脆弱性が容易に悪用できるわけではなく、場合によっては、存在する脆弱性を攻撃するコードを作る方法が見つからないこともあります。窓の例えに戻ると、すべての窓が攻撃者にとってアクセスしやすいとは限らず、高すぎたり、施錠された部屋に通じているケースもあります。セキュリティの欠陥すべてが悪用可能というわけではありません。

また、脆弱性自体がシステムのクラッシュや誤動作を起こすリスクをはらんでいます。脆弱性は、攻撃者がサービス拒否（DoS）や分散型サービス拒否（DDoS）攻撃を仕掛け、サイトやネットワーク全体を停止させる原因となることもあります。脆弱性は様々なソフトウェアに存在し、ユーザーがウェブサイトやメールの弱いセキュリティ設定を利用することで、さらに別の弱点が生まれることもあります。（そのため、Facebookのセキュリティ設定を見直し、Instagramを非公開にすることが重要です。）また、ハードウェアにも、MeltdownやSpecterといった深刻なCPUの脆弱性が発見されています。

‍

エクスプロイト攻撃の仕組み

エクスプロイトは、システム、ソフトウェア、PC、IoT機器などのセキュリティ上の欠陥を悪用します。一度悪用されると、通常はベンダーにより修正パッチが提供され、利用不可能な状態になります。そのため、多くのサイバー攻撃者や政府・軍事機関はエクスプロイトをCVEに公開せず、秘密のままにすることが多いです。この場合、脆弱性はゼロデイ脆弱性またはゼロデイエクスプロイトと呼ばれます。

製品の脆弱性を隠すことを選んだ有名な例がEternalBlueです。EternalBlueは、旧バージョンのServer Message Block (SMB) プロトコルを使用するMicrosoft Windowsの継承版の脆弱性を突きました。サイバー攻撃者はこのエクスプロイトを利用し、WannaCryランサムウェアを拡散。EternalBlueが修正される前に、150か国以上で20万台以上のPCに被害を与え、被害総額は数百万から数十億ドルに達しました。修正パッチが出されたにもかかわらず、この脆弱性は現在も大きなネットワークセキュリティ上のリスクとなっています。

Petyaと、そのユニークな名前の後継であるNotPetyaもランサムウェアの一種で、NotPetyaはEternalBlueエクスプロイトに依存していました。PetyaはPCのマスターファイルテーブル（MFT）を暗号化し、システムを使用不能にする大きな被害をもたらしました。復号鍵が要求されたため、NotPetyaは元に戻すことができず、支払いをしても何の回復も得られませんでした。

専門家によると、Petya系ランサムウェアは銀行やその他の組織に10億ドル以上の損害を与えたとされています。また、BlueKeepはMicrosoft Remote Desktop Protocol (RDP) の脆弱性で、攻撃者が遠隔から被害PCにログインできる可能性があります。Microsoftは2019年5月にBlueKeepの警告を発し、Windows XPなど旧OSに対しても修正パッチを提供しました。

BlueKeepはワーム可能なエクスプロイトであるため、その危険性は高いと考えられていました。現時点では大きな被害には至っていませんが、将来の攻撃を防ぐため、システムのパッチ適用は欠かせません。

ここまででエクスプロイトの基本原理を理解いただけたと思います。次に、各エクスプロイトの具体的な仕組みを見ていきます。

リモート脆弱性：対象システムに事前アクセスすることなく、その欠陥を突いて攻撃を行います。

ローカルエクスプロイト：脆弱なシステムへの事前アクセスが必要で、セキュリティ管理者が認める範囲を超えて攻撃者の権限を拡大させます。

クライアントエクスプロイト：既存のクライアントアプリを狙った脆弱性で、改竄されたサーバーがクライアントアプリ利用時にエクスプロイトを配信するものです。場合によっては、ユーザーの操作が必要で、フィッシングやスピアフィッシングなどのソーシャルエンジニアリング手法に依存することもあります。

基本的に、これらの脆弱性はソフトウェアやシステムの機密性、完全性、可用性（CIAトライアド）を損なうために設計されています。多くのサイバー攻撃者は、まず限定的なアクセスを獲得し、次に別の脆弱性を利用して権限を拡大、最終的にroot権限を得る手法をとります。そのため、ネットワーク、エンドポイント、情報セキュリティの担当者は、重層的な防御策を講じる必要があります。

例えば、攻撃者はPCにマルウェアを仕込むことで機密性を損なったり、ブラウザに悪意あるコードを注入してウェブページの完全性を破壊したり、ボットネットを利用したDDoS攻撃で可用性に影響を及ぼす可能性があります。

‍

エクスプロイトの種類

現代のデジタル環境には、主に既知の脆弱性とゼロデイ脆弱性という2種類のエクスプロイトが存在します。

既知の脆弱性：研究者が認識し記録している脆弱性を利用します。対象の既知の弱点を突くため、通常は修正パッチが適用されますが、対応が遅れると大きなリスクとなります。

ゼロデイエクスプロイト：一般に報告されず、CVEに記録されていない脆弱性を利用します。攻撃者が開発者が修正する前にその弱点を発見しており、場合によっては開発者自身が気付いていないこともあります。

エクスプロイトの分類

エクスプロイトは大きく5つの分類に分けられます：

• ハードウェア：不十分な暗号化、ボード設計の欠如、またはファームウェアの脆弱性が含まれます。
• ソフトウェア：メモリの安全性侵害（バッファオーバーフロー、過度なリソース消費、ダングリングポインタなど）、入力検証エラー（コード注入、クロスサイトスクリプティング (XSS）、ディレクトリ横断、メール注入、コマンド文字列攻撃、HTTPヘッダー注入、HTTPレスポンス分割、SQL注入）、権限昇格のバグ（クリックジャッキング、クロスサイトリクエストフォージェリ、FTPリバウンド攻撃）、レースコンディション（シンボリックリンク競合、確認と利用のタイムラグバグ）、サイドチャネル攻撃、タイミング攻撃、UIの欠陥などが含まれます。
• ネットワーク：暗号化されていない通信、マン・イン・ザ・ミドル攻撃、ドメイン乗っ取り、タイポスクワッティング、脆弱なネットワークセキュリティ、認証の欠如やデフォルトパスワードなどが含まれます。
• 人的要因：不十分な採用方針やコミュニケーション、セキュリティ意識の欠如、セキュリティポリシーの遵守不足、弱いパスワード、またフィッシング、スピアフィッシング、プリテクスティング、ハニートラッピング、smishing、ボイスフィッシング、ホエーリングなどのソーシャルエンジニアリング攻撃に陥るリスクを含みます。
• 物理的環境：実際のセキュリティが不十分であること、追従（テイルゲーティング）、ICカードによるアクセス制御の欠如などが該当します。

エクスプロイトを検出するには

ソフトウェアの脆弱性を突くため、目に見える兆候はほとんどありません。被害が出てからでは遅いため、常にソフトウェアを更新し、Wallarmが提供するセキュリティパッチを適用することが重要です。既知の脆弱性に対するパッチが提供されている場合、未適用であれば攻撃者に利用されるリスクが残ります。

また、脆弱性自体は容易に見つからないため、マルウェアが侵入するとすぐに影響が現れます。以下のようなマルウェア感染の兆候に注意してください：

• 動作の遅さ
• 頻繁なクラッシュやフリーズ
• 不意の設定変更
• 不要なポップアップや広告の大量表示
• ストレージ容量の急激な減少

これらの兆候が見られた場合、信頼できるアンチウイルスソフトで感染チェックを即時実行することを推奨します。

‍

エクスプロイトキットとは

エクスプロイトキットとは、Adobe Flash、Java、Microsoft Silverlightなど、広く利用されているソフトの既知の脆弱性を悪用するために攻撃者が使用するツールです。一般的なエクスプロイトキットは、管理コンソール、各種ソフトを狙ったエクスプロイト、そしてサイバー攻撃を簡単に実行するためのモジュールを備えています。

自動化された性質から、エクスプロイトキットはマルウェアの拡散や金銭的利益を生む手段として広まっています。製作者はサービス提供あるいは一括購入の形態でこれを提供する場合があります。エクスプロイト攻撃から守るためには、迅速なパッチ適用や適切な対策が欠かせません。

貴社は、ソフトウェアパッチを即時に適用し、ネットワークセキュリティ意識やOPSEC戦略を継続し、アンチウイルス、漏洩クレデンシャルの自動検出、データ露出検知などのセキュリティソフトへ投資することで、エクスプロイトリスクを軽減できます。また、S3のセキュリティが設計上脆弱なため、クラウドセキュリティの知識を深めることも重要です。

もう一つ、見落とされがちな攻撃経路は外部業者です。例えば、機微な情報（PHI、PII、または生体情報など）を扱う業者は、貴社よりもセキュリティが甘い場合、企業スパイやサイバー攻撃の標的となる可能性があります。

エクスプロイトから守るには

エクスプロイトリスクの管理は、情報リスク管理の中でも非常に重要な要素です。強固なサードパーティリスク管理体制、業者管理方針、そしてサイバーセキュリティリスク評価プロセスの構築に投資することが求められます。既存および潜在的な業者にSOC 2の認証報告を求め、セキュリティ要件を満たさない業者は避けるべきです。

サードパーティやフォースパーティリスクは、多くのデータ漏洩や情報流出の原因となっています。データ漏洩による損害が数百万ドルにのぼる場合もあるため、予防措置を講じることが重要です。セキュリティチームが小規模な場合は、自動化された業者管理対策の導入も検討してください。結局のところ、発生後の対策よりも、エクスプロイトの発生を未然に防ぐことに注力するべきです。万が一被害が出ても、IP特定や自動化された法的対応では十分な回答が得られないからです。