エクスプロイト

エクスプロイトは、OSやそのアプリケーションのコードに隠されたソフトウェアの脆弱性を利用するもので、サイバー犯罪者はこれを利用してシステムに不正アクセスする。

無料アンチウイルスをダウンロード

コンピューター搾取について知っておくべきこと

コンピュータの悪用。それは何なのか?

ソフトウェア開発者がいかにパッチやアップデートに余念がなく、時には最初のソフトウェアリリースからわずか数日後にアップデートをリリースしているかにお気づきだろうか。

というのも、あなたが所有する、そして今後所有することになるすべてのソフトウェアには、サイバー犯罪者が見つけて利用できる脆弱性、つまり "エクスプロイト(悪用)"が存在するからだ。悪用されないソフトウェアなど存在しない。コンピュータ・ソフトウェアは、スイスチーズの塊のように頑丈なものなのだ。

エクスプロイトによって、サイバー犯罪者はコンピュータにアクセスし、機密情報を盗んだり、マルウェアをインストールしたりすることができます。エクスプロイトの活動が鈍化しているにもかかわらず、サイバー犯罪者はこのステルス的な攻撃手法に後退し続けている。このことを念頭に置いて、今こそエクスプロイトのトピックについて自分自身を教育し、それに応じて自分自身を保護する絶好の機会です。そこで、下にスクロールして読み進め、コンピュータのエクスプロイトについて知っておくべきことをすべて学びましょう。

エクスプロイトとは何か?エクスプロイトの定義

コンピュータ・エクスプロイトとは、バグや脆弱性を利用するマルウェアの一種で、サイバー犯罪者がシステムへの不正アクセスに利用する。これらの脆弱性は、オペレーティング・システムやそのアプリケーションのコードに隠されており、サイバー犯罪者によって発見され、利用されるのを待っている。一般的に悪用されるソフトウェアには、オペレーティング・システム自体、ブラウザ、Microsoft Office、サードパーティ製アプリケーションなどがある。エクスプロイトは、サイバー犯罪グループによってエクスプロイトキットと呼ばれるものにパッケージ化されることもある。エクスプロイト・キットは、技術的知識の乏しい犯罪者がエクスプロイトを利用し、マルウェアを拡散することを容易にします。

エクスプロイトとは何かについて理解を深めるには、2000年代初頭に流行した高価な自転車やノートパソコンのシリンダー錠を思い浮かべるといいかもしれない。人々はこれらのロックに50ドル以上を支払い、そのロックが貴重品の安全を守っていると考えていた。しかし、誰かがこれらのロックが安価で簡単に手に入るビックペンを使って数秒でピッキングできることを実演したビデオをオンラインに投稿するまで。

これにより、錠前メーカーは錠前を更新せざるを得なくなり、消費者は新しいピッキング防止錠にアップグレードしなければならなくなった。これは物理的なセキュリティ・システムを具体的に悪用したものだ。ソフトウェアに適用されるように、サイバー犯罪者は、ビックペンの男のように、他人のコンピュータ、モバイル機器、ネットワークにアクセスできるようにする巧妙なトリックを探している。

エクスプロイト攻撃は、多くの場合、マルスパムや ドライブバイダウンロードから始まります。サイバー犯罪者は、疑うことを知らない被害者を騙して、感染した電子メールの添付ファイルを開かせたり、悪意のあるウェブサイトにリダイレクトされるリンクをクリックさせたりする。感染した添付ファイル(多くの場合Word文書やPDF)には、アプリケーションの弱点を利用するように設計されたエクスプロイトコードが含まれています。

ドライブバイダウンロードは、例えばInternet ExplorerやFirefoxなどのブラウザや、Flashなどのブラウザ内で動作するプラグインの脆弱性を利用します。過去に安全にアクセスしたことのあるウェブサイトでも、今回はハッキングされており、それに気づかないこともあります。また、スパムメールに記載された悪意のあるリンクをクリックすると、見慣れたウェブサイトが偽装されて表示されることもあります。

特に巧妙なケースでは、マルウェアに感染した広告やポップアップが表示された正規のウェブサイトにアクセスすることがあります。そのサイトにアクセスすると、ウェブページ上の悪意のあるコードがバックグラウンドで目に見えない形で動作し、マルウェアをコンピュータにロードします。

サイバー犯罪者は、悪意のある目的の手段としてエクスプロイトを使用します。サイバー犯罪者は、DDoS攻撃や ビットコインの採掘(クリプトジャッキング)を目的として、あなたのコンピュータのリソースをゾンビボットネットで稼働させようとするかもしれません。

あるいは、サイバー犯罪者がアドウェアをインストールし、デスクトップを広告であふれさせようとする場合もあります。サイバー犯罪者は、お客様のシステムに侵入してデータを盗み出したり、マルウェアをインストールして長期間にわたってお客様のデータを密かに収集しようとしたりします(スパイウェア)。最後に、サイバー犯罪者は、すべてのファイルを暗号化するマルウェアをインストールし、暗号化キーと引き換えに支払いを要求することがあります(ランサムウェア)。

ゼロデイ攻撃とは何か?

ゼロデイ年に一度、謙虚な小さなゼロを認識するために立ち止まる日。それが本当ならいいのだが。実際には、ゼロデイ・エクスプロイト(ゼロ時間エクスプロイトとも呼ばれる)とは、それを作成したサイバー犯罪者以外は誰も知らず、利用可能な修正プログラムもないソフトウェアの脆弱性のことである。エクスプロイトが一般に知られるようになると、それはもはやゼロデイではなくなります。既知のエクスプロイトは、エクスプロイトが公表されてから1日以上経過していることを示すn-dayエクスプロイトと呼ばれることもあります。

ひとたびゼロデイ・エクスプロイトが公開されると、ソフトウェア・メーカーは、犯罪者に利用され利益を得る前に、そのエクスプロイトにパッチを当てるべく、犯罪者との競争にさらされることになる。幸いなことに、研究者には慎重さがある。研究者が犯罪者よりも先にエクスプロイトを発見した場合、研究者は通常、その欠陥をメーカーに報告し、一般大衆(および犯罪者)に広く知られる前に修正するチャンスを与える。

積極的にエクスプロイトを探すことは、一部のハッカーにとってスポーツのようになっている。 hackers.毎年開催されるPwn2Ownコンペティションでは、エクスプロイトのエキスパートたちが、ウェブブラウザやエンタープライズ・アプリケーションなど、複数のカテゴリーにわたる一般的なソフトウェアのハッキングに成功し、賞金や賞品を獲得する。ソフトウェア・セキュリティへの関心を示すものとして、マイクロソフトとVMwareは2018年にPwn2ownイベントのスポンサーとなった。

ソフトウェアメーカーがエクスプロイトの発見と修正に積極的であることについて、Malwarebytes プリンシパル・リサーチ・エンジニアであるデビッド・サンチェス氏は、「マイクロソフトをはじめとするソフトウェアメーカーが、Officeなどのアプリケーションのセキュリティ確保に懸命に取り組んでいることは事実であり、これらを悪用することは困難になっている。しかし、セキュリティの専門家やサイバー犯罪者たちは、いまだにOfficeを悪用する方法を見つけ出しています。100パーセントのセキュリティは幻想に過ぎませんが、Malwarebytes アプリケーションは、その100パーセントに限りなく近い状態で人々を保護します。"

「100パーセントのセキュリティは幻想にすぎません。Malwarebytes アプリは、その100%に限りなく近い状態で人々を保護します。"
- David Sanchez
Malwarebytes プリンシパル・リサーチ・エンジニア

コンピューター悪用の歴史

エクスプロイトはコンピューティングと同じくらい古いものだ。これまでにも指摘してきたように、すべてのソフトウェアには脆弱性があり、長年にわたって本当に恐ろしいものが存在してきた。ここでは、より顕著なコンピュータのエクスプロイトを簡単に紹介しよう。

世界で最も偉大な(つまり最悪の)エクスプロイトの探求は、最初のコンピューター・ワームとエクスプロイトのひとつであるモリス・ワーム(Morris worm)から1988年に始まる。作成者のロバート・タッパン・モリスにちなんで名付けられたこのワームは、様々な脆弱性を利用してアカウントにアクセスし、ネットワークに接続されているコンピュータの台数を特定することで、インターネットが形成されたばかりの頃のインターネットの規模を把握するために設計された。

このワームは手に負えなくなり、コンピュータを何度も感染させ、正規ユーザーのためのリソースがなくなるまで、ワームのコピーを複数同時に実行した。モリス・ワームは事実上DDOS攻撃になっていた。

2003年に世界を席巻したSQLSlammerワームは、マイクロソフト社のSQLサーバー・ソフトウェアが稼動するおよそ25万台のサーバーをボットネットに参加させた。いったんサーバーが感染すると、ランダムにIPアドレスを生成し、そのアドレスに感染したコードを送りつけるという散漫な攻撃スタイルをとった。標的となったサーバーにSQL Serverがインストールされていれば、それも感染してボットネットに追加される。SQL Slammerの結果、13,000台のバンク・オブ・アメリカのATMがオフラインになった。

2008年に発生したConfickerワームは、いくつかの理由で注目に値する。第一に、多くのコンピュータをボットネットに巻き込み、最盛期には1,100万台のデバイスが存在したと報告されている。第二に、Confickerは、ドメイン生成アルゴリズム(DGA)と呼ばれる検出を回避するためにウイルスが使用する一種の裏技を広めた。要するに、DGA技術によって、マルウェアは新しいドメインとIPアドレスを生成することで、コマンド・アンド・コントロール・サーバー(C&C)と無限に通信できるようになる。

イランの核開発プログラムを攻撃するために設計された2010年のStuxnetワームは、Windows 複数のゼロデイ脆弱性を利用してシステムにアクセスした。そこからワームは自己複製し、あるシステムから別のシステムへと拡散した。

2014年に発見されたHeartbleedエクスプロイトは、コンピューターとサーバーが個人的にやり取りするための暗号化システムを攻撃するために使用された。言い換えれば、サイバー犯罪者はこのエクスプロイトを使って、あなたのデジタル会話を盗聴することができる。OPENSSLと呼ばれるこの暗号化システムは、17.5%にあたる50万台の「安全な」ウェブサーバーで使用されていた。これは多くの脆弱なデータである。

これは、あなたのコンピュータ(クライアント側)の問題ではなく、あなたが訪問するウェブサイト(サーバー側)の問題であるため、このエクスプロイトにパッチを当てるのはネットワーク管理者次第です。ほとんどの信頼できるウェブサイトは、数年前にこのエクスプロイトに対するパッチを適用していますが、すべてではありません。

2017年はランサムウェアにとって飛躍の年となった。WannaCryとNotPetyaのランサムウェア攻撃は、EternalBlue/DoublePulsarの Windows エクスプロイトを利用してコンピュータに忍び込み、データを人質に取った。この2つの攻撃を合わせると、世界中で180億ドルの被害が発生した。特にNotPetya攻撃では、キャドバリーのチョコレート工場やデュレックスのコンドームメーカーなどが一時的に機能不全に陥った。世界中のヘドニストたちは、エクスプロイトにパッチが適用されるまで息をのんだ。

2017年のEquifaxの攻撃は、信用情報機関がソフトウェアを最新の状態に保つ努力をすれば回避できたかもしれない。今回のケースでは、サイバー犯罪者がEquifaxのデータ・ネットワークに侵入するために使用したソフトウェアの欠陥はすでによく知られており、パッチが利用可能だった。パッチを当てる代わりに、Equifaxとその時代遅れのソフトウェアは、サイバー犯罪者に何億人もの米国顧客の個人情報を盗ませたのだ。「ありがとう

さて、アップル・ユーザーの皆さんが、Macはエクスプロイトに基づく攻撃を受けにくいと考え始める前に、サイバー犯罪者がユーザー名フィールドに「root」と入力し、returnを2回押すだけでコンピュータにフルアクセスできるという、ゾッとするような2017年のrootバグについて考えてみよう。このバグはサイバー犯罪者が利用する前にすぐに修正されたが、これはどんなソフトウェアにも悪用可能なバグがあり得るということを示すものだ。私たちは、Mac 悪用が増加していることを報告した。2017年末までに、Mac プラットフォーム上のユニークな脅威は、2016年に比べて270%増加した。

ここ最近、ブラウザのエクスプロイトの世界ではほとんどニュースがない。一方、Officeエクスプロイトキットは増加傾向にある。2017年以降、私たちはOfficeベースのエクスプロイトキットの利用が増加していることに気づいた。偽の国税庁からの通知に隠されたものや、Word文書に隠されたゼロデイ攻撃など、複数の革新的なWordエクスプロイトについて初めて報告したのは、その年の秋のことだった。

現在、マクロに頼らない新しいタイプのOfficeエクスプロイト・キットが登場している。このエクスプロイト・キットは、代わりにドキュメントをおとりとして使い、エクスプロイトを展開する自動ダウンロードを引き起こす。

最近、サイバー犯罪者はファイルレス・マルウェアを展開している。この種のマルウェアは、標的のコンピュータにインストールされたコードに依存せずに動作するため、このような名前が付けられている。その代わり、ファイルレス・マルウェアはコンピュータにインストールされているアプリケーションを悪用し、コンピュータ自身や他のコンピュータに対して効果的に兵器化する。

「ファイルレスマルウェアは、すでにコンピュータにインストールされているアプリケーションを悪用し、コンピュータを自分自身や他のコンピュータに対して効果的に武器化する。

モバイルでのエクスプロイトAndroid iOS

モバイルユーザーにとって最大の懸念は、グーグルやアップルが承認していないアプリをインストールすることだ。Google Play StoreやApple App Store以外のアプリをダウンロードするということは、そのアプリがそれぞれの企業によって審査されていないことを意味する。これらの信頼されていないアプリは、iOSAndroid iOS脆弱性を悪用してモバイルデバイスにアクセスしたり、機密情報を盗んだり、その他の悪質な行為を実行しようとするかもしれません。

エクスプロイトから身を守るには?

エクスプロイトは恐ろしいものだ。だからといって、ルーターを窓から投げ捨てて、インターネット以前のコンピューターの暗黒時代のふりをしろというのだろうか?そんなことはない。エクスプロイト対策に積極的に取り組むためのヒントをいくつか紹介しよう。

  1. 最新の状態に保つオペレーティング・システムやインストールした各種アプリケーションを定期的にアップデートしていますか?もし「いいえ」と答えたなら、あなたはサイバー犯罪者の潜在的な被害者かもしれません。ゼロデイ脆弱性がソフトウェアベンダーに知られ、パッチがリリースされた後、パッチを当ててソフトウェアをアップデートする責任は、個々のユーザーにあります。実際、ゼロデイ攻撃は、より広範な脅威行為者がその攻撃を利用するため、公になった後はより危険で広範なものとなります。ソフトウェア・プロバイダーに連絡し、アップデートやパッチが提供されていないか確認してください。可能であれば、ソフトウェアの設定で自動更新をオンにしておくと、アップデートがバックグラウンドで自動的に行われるようになる。そうすれば、脆弱性が発表されてからパッチが適用されるまでのタイムラグをなくすことができる。サイバー犯罪者は、ソフトウェアのアップデートやパッチの適用を忘れたり、知らなかったりする人々を食い物にしている。
  2. ソフトウェアをアップグレードする。場合によっては、ソフトウェア・アプリケーションがあまりにも古く、扱いにくくなったために、ソフトウェア・メーカーがサポートを停止してしまうことがあります(廃ソフトウェア)。この場合、バグが発見されても修正されることはありません。先ほどのアドバイスに忠実に言えば、お使いのソフトウェアがまだメーカーのサポートを受けているかどうか確認してください。もしそうでなければ、最新バージョンにアップグレードするか、同じことができる他のものに乗り換えましょう。
  3. オンラインを安全にご利用ください。Microsoft SmartScreenまたはGoogleSafe Browsingがウェブブラウザで有効になっていることを確認してください。ブラウザは、マイクロソフトとグーグルが管理するブラックリストと照合し、マルウェアが存在するサイトからのアクセスを防ぎます。効果的なマルウェア対策ツール Malwarebytesのような効果的なマルウェア対策ツールは、悪質なサイトもブロックし、何重にも保護します。
  4. 使うか、失うか。 Hackers ハッキングしてくる。それについて我々ができることはあまりない。しかし、ソフトウェアがなければ脆弱性もない。そのソフトウェアをもう使わないのであれば、コンピューターから削除してください。Hackers 、そこにないものに侵入することはできません。
  5. 許可されたアプリをインストールする。モバイルデバイスを安全に使うためには、正規のアプリに限定しましょう。新しいアプリをベータテストするときなど、App StoreやGoogle Playストア以外の場所に行きたい場合もあるかもしれないが、そのアプリメーカーが信頼できるかどうかを二重に確認する必要がある。しかし一般的には、アップルやグーグルが審査した公認アプリにこだわるべきだ。
  6. エクスプロイト対策ソフトウェアを使用する。エクスプロイトベースの攻撃を回避するために必要な予防策はすべて講じたことになる。ゼロデイ攻撃はどうでしょうか?ゼロデイ・エクスプロイトは、サイバー犯罪者だけが知っているソフトウェアの脆弱性であることを覚えておいてほしい。私たちが知らない脅威から身を守るためにできることはあまりない。そうだろうか?Malwarebytes (Windows版)Malwarebytes (Mac版)、Malwarebytes (Android版)、Malwarebytes (iOS版)のような優れたマルウェア対策プログラムは、攻撃のヒューリスティック分析を使って、コンピュータの脆弱性を利用する悪意のあるソフトウェアをプロアクティブに認識し、ブロックすることができる。つまり、疑わしいソフトウェアプログラムがマルウェアのような構造と動作をする場合、Malwarebytes そのソフトウェアにフラグを付け、隔離します。

エクスプロイトがビジネスに与える影響

多くの点で、サイバー犯罪者やエクスプロイトにとって、あなたのビジネスは個人消費者よりも価値の高いターゲットとなる。

例えば、Equifaxのデータ流出事件である。このケースでは、サイバー犯罪者はApache Struts 2のエクスプロイトを利用してEquifaxのネットワークにアクセスし、ユーザー権限をエスカレートさせた。攻撃者はネットワークに侵入すると、自分たちをシステム管理者に仕立て上げ、数百万人の消費者の機密データにアクセスできるようにした。Equifaxの攻撃による被害の全容は誰にもわからないが、最終的には信用情報機関に数百万ドルの損害を与えることになるかもしれない。現在、集団訴訟が進行中であり、個人もエクイファクスを小額裁判所に提訴し、1件あたり8,000ドル以上を勝ち取っている。

権限の昇格だけでなく、エクスプロイトを利用して他のマルウェアを展開することも可能で、NotPetyaランサムウェア攻撃がそうだった。NotPetyaはインターネット上で拡散し、個人や企業を攻撃した。EternalBlueとMimiKatzの Windows エクスプロイトを使用して、NotPetyaはネットワーク上に足場を築き、コンピュータからコンピュータへと広がり、各エンドポイントをロックし、ユーザーデータを暗号化し、ビジネスを停止させました。コンピューター、スマートフォン、VOIPデスクホン、プリンター、サーバーのすべてが使えなくなった。世界中の企業への被害Total 100億ドルと見積もられている。

では、どうすればビジネスを守ることができるのか?優れたパッチ管理戦略でシステムの弱点を取り除く必要がある。ここでは、あなたのネットワークに最適なものを見つけるために覚えておくべきことをいくつか紹介しよう。

  • ネットワーク・セグメンテーションを実施する。データをより小さなサブネットワークに分散させることで、攻撃対象が小さくなり、攻撃を受けにくくなります。これにより、侵害をインフラ全体ではなく、少数のエンドポイントのみに抑えることができます。
  • 最小特権の原則(PoLP)を実施する。要するに、ユーザーには業務に必要なアクセス・レベルを与え、それ以上は与えないということです。繰り返しますが、これは侵害やランサムウェア攻撃による損害を抑えるのに役立ちます。
  • アップデートの最新情報を入手する。パッチ・チューズデーに注意し、それに合わせて計画を立てましょう。マイクロソフト・セキュリティ・レスポンス・センターでは、最新のアップデート情報をブログで公開しています。また、Eメールニュースレターを購読すれば、毎月更新されるパッチについて常に知ることができる。
  • アップデートの優先順位を決めるパッチ・チューズデーの翌日は、「エクスプロイト・ウェンズデー」と呼ばれることがある。サイバー犯罪者は潜在的なエクスプロイトを認識しており、サイバー犯罪者が攻撃する機会を得る前にシステムをアップデートする競争が始まっている。パッチ・プロセスを迅速化するためには、各エンド・ユーザーに任せるのではなく、1つの中央エージェントから各エンド・ポイントのアップデートを開始することを検討すべきである。
  • 事後的にアップデートを監査する。パッチはソフトウェアを修正するものだが、時にはパッチが事態を悪化させてしまうこともある。フォローアップを行い、ネットワークにプッシュしたパッチが事態を悪化させていないことを確認し、必要に応じてアンインストールする価値がある。
  • 廃ソフトウェアを処分する。特に、購買サイクルがナマケモノのようにせわしなく動いている大企業では、使用期限を過ぎた古いソフトウェアを処分するのが難しい場合もありますが、使用停止になったソフトウェアは、ネットワークやシステム管理者にとってまさに最悪のシナリオです。サイバー犯罪者は、時代遅れのソフトウェアが稼働しているシステムを積極的に探し求めるため、できるだけ早くソフトウェアを交換する必要がある。
  • もちろん、優れたエンドポイント・セキュリティ・ソフトウェアは、エクスプロイト対策プログラムには欠かせないものだ。Malwarebytesご検討ください。Malwarebytes Endpoint Protectionと Malwarebytes Endpoint Detection and Responseにより、あらゆるビジネスセキュリティのニーズに対応するソリューションを提供します。

最後に、これだけではエクスプロイトに関する知識欲が満たされない場合は、 Malwarebytes Labsブログでエクスプロイトに関する記事を読むことができます。

エクスプロイトに関するニュース


エクスプロイト・キットのレビュー 

エクスプロイトキット:2019年春のレビュー
エクスプロイトキット:2019年冬のレビュー
エクスプロイトキット:2018年秋のレビュー
エクスプロイトキット:2018年夏のレビュー
エクスプロイトキット:2018年春のレビュー
エクスプロイトキット:2018年冬のレビュー
エクスプロイトと脆弱性に関するその他のニュースは、Malwarebytes Labs ブログでお読みください。