ほぼすべてのソフトウェアのコードには、エラー(バグ)やセキュリティ上の脆弱性が存在します。コードが大規模になればなるほど、その数も増えます。これらのセキュリティ上の欠陥の多くは、ユーザーやメーカー自身によって時間の経過とともに発見され、パッチや次回のアップデートで修正されます。しかし、中には犯罪的なハッカーによって最初に発見され、その知識を秘密にしておくハッカーもいます。彼らはその後、そのセキュリティホールを自ら利用して他人のシステムに侵入したり、発見したセキュリティ上の欠陥を高額で販売したりします。
このような新たに発見されたセキュリティ脆弱性はゼロデイ(0-day)と呼ばれ、時には「0-day」と綴られることもあります。これは、メーカーが脆弱性を解消するために残された時間の長さを指します。「ゼロデイ」とは、企業がパッチを開発して公開する時間が全くないことを意味します。これは、ハッカーが既にその脆弱性を積極的に悪用しているためです。ハッカーは、ゼロデイエクスプロイト、つまりその脆弱性を狙った手法を用いて、ゼロデイ攻撃を実行します。
ソフトウェアメーカーは脆弱性を把握次第、コード内の該当箇所を具体的に変更するパッチを開発できます。あるいは、アップデート、つまりプログラムの修正・改善版を公開します。パッチまたはアップデートが公開されると、エクスプロイトはもはや有効ではなくなり、ゼロデイの脅威は正式に終息します。
しかし、多くのユーザーはすぐにパッチを適用せず、数日または数週間遅れて適用するため、脆弱性によってもたらされる危険はしばらく残ります。
ゼロデイ攻撃は、あらゆる攻撃の中でも最も危険なものの一つです。なぜなら、脆弱性がメーカーやユーザーに知られない限り、彼らは予防措置を講じないからです。攻撃者は数日、時には数週間、あるいは数ヶ月もの間、気づかれずに他人のコンピュータシステムを監視し、より高い権限を取得し、機密データをダウンロードし、マルウェアをインストールすることができます。ウイルス対策ツールは、このような活動を検出するように設計されています。しかし、攻撃者は巧妙に偽装することに何度も成功し、時として検知されないこともあります。
さらに読む: Windows PCに最適なウイルス対策ソフトウェア
誰もが欲しがる秘密情報:賞金100万ドル以上
マイクロソフトは、バグ報奨金ウェブサイトで、新たに発見されたセキュリティホールに対して支払う報奨金の上限額を公表しています。一部の製品では、発見者は最大10万ドルを受け取ることができます。
IDG
ゼロデイセキュリティ脆弱性は、ブラックマーケットで高い価値を誇っています。Windowsで新たに発見され、まだ修正されていないセキュリティホールは、ダークウェブ上で6桁から7桁の金額で取引されています。しかし、これらの脆弱性に関心を持つのは犯罪者だけではありません。過去には、諜報機関もこれらの脆弱性を悪用し、他国のデータベースやインフラへの攻撃を実行していました。
最もよく知られている例はStuxnetです。イスラエルと米国によって開発されたとされるコンピュータワームが、イランの核開発計画のシステムに侵入しました。Windowsの複数の未知のセキュリティホールを突いてシステムに侵入し、核分裂性物質を生産する遠心分離機の制御を操作しました。その結果、遠心分離機は短期間で故障しましたが、エラーメッセージは表示されませんでした。
無料ツール Sumo を使用すると、どのプログラムのアップデートが利用可能かを確認し、個別にインストールすることができます。
IDG
政府や企業も、ゼロデイ脆弱性を産業スパイ活動に利用しています。つまり、新開発計画、企業データ、連絡先などを盗み出すのです。そして最後に、ハクティビストも、自らの政治的または社会的目標に注目を集めるために、この手段に訴えます。
ゼロデイ脆弱性の危険性の高さと、その開示に支払われる高額な報奨金のため、複数の大手ソフトウェア企業がバグ報奨金プログラムを立ち上げました。これは「バグ報奨金」と呼ばれ、Microsoftなどのメーカーが、自社のオペレーティングシステムやアプリケーションに新たに発見されたセキュリティホールやその他のバグに対して支払うものです。報奨金は主にバグの深刻度に基づいており、3桁から6桁の範囲です。
注意:最も危険な5つのWi-Fi攻撃とその対策
ゼロデイ攻撃の検出方法
マルウェアの検出において、最新のアンチウイルスプログラムは、ウイルスシグネチャだけでなく、ヒューリスティック手法や人工知能も活用しています。メーカーは、新しい亜種を検出できるよう、既知のマルウェアの行動パターンをアンチウイルスプログラムに学習させています。しかし、ゼロデイ攻撃は常に異なる攻撃手法を用いるため、この手法の効果は限定的です。
行動ベースのセキュリティソリューションは、企業でよく利用されています。侵入検知システムは、ログファイルやCPU使用率などのシステム情報を監視することで、ネットワーク内および個々のコンピュータにおける顕著なアクティビティを特定します。この場合、警告メッセージを発行したり、管理者にメールを送信したりします。侵入防止システムはさらに一歩進んで、ファイアウォール設定の変更などの対策を自動的に実行します。しかし、このようなアプリケーションは非常に高価であり、ビジネス用途にしか適していません。
新しいセキュリティ脆弱性に関する情報を見つける
1990年代後半まで、セキュリティ上の脆弱性は体系的に記録されていませんでした。しかし、急増するWindowsアプリケーションに新たな脆弱性が発見されるにつれ、Mitre社の2人の従業員は、脆弱性を記録し管理するための合理的なシステムについて考え始めました。
米国のマイター・コーポレーションは、1958年に米国軍のシンクタンクとして設立され、現在では複数の米国当局に対し安全保障問題に関する助言を行っています。この非営利団体は、CISA(サイバーセキュリティ・インフラセキュリティ庁)とDHS(国土安全保障省)の資金援助を受けています。
こうした議論の結果、1999年にCVEシステム(Common Vulnerabilities and Exposures)が導入されました。それ以来、すべてのセキュリティ脆弱性にはCVE-XXXX-XXXXXという形式のCVE番号またはIDが付与されています。最初の4文字は脆弱性がカタログ化された年を示し、その後の数字(5桁を超える場合もあります)は脆弱性の通し番号です。CVEシステムはその後、国際的に認められた標準へと発展しました。
米国国家脆弱性データベース(National Vulnerability Database of the USA)には、最近発見された20件の脆弱性とそのCVE番号が掲載されています。さらに、動作モードや利用可能なパッチに関する情報も掲載されています。
IDG
Mitre Corporationは、CVEデータベース用のウェブサイトwww.cve.orgを開設しています。このウェブサイトでは、CVE番号や「Windowsカーネル」などのキーワードで検索できます。
あるいは、207,000件以上のエントリを含むデータベース全体をダウンロードすることもできます。CVEウェブサイトに密接にリンクされているのは、National Vulnerability Database (NVD)です。https://nvd.nist.gov では、最近確認された20件の脆弱性と、その説明、利用可能なパッチへのリンクが掲載されています。
脆弱性の危険度は「低」「中」「高」「重大」の4段階で評価されます。ご利用のアプリケーションの脆弱性が「高」または「重大」と表示されている場合は、メーカーのウェブサイトでパッチが既に公開されているかどうかをご確認ください。
Microsoft も CVE 標準を使用していますが、自社製品で新たに検出された脆弱性の独自のリストを https://msrc.microsoft.com/update-guide/vulnerability で管理しています。同社は月次セキュリティ更新を通じてパッチを自動的に配布しており、手動でインストールする必要はありません。
同社は、自社製品に新たに発見されたセキュリティ上の脆弱性をMicrosoft Security Response Centerで公開しています。パッチのインストールは自動的に行われるため、ご心配いただく必要はありません。
IDG
ゼロデイ攻撃から身を守る方法
ゼロデイ攻撃は企業だけを狙うものではありません。ハッカー集団は、広く拡散されているメールによるフィッシング攻撃で個人ユーザーを悪意のあるウェブサイトに誘い込もうとしたり、時には詐欺的なGoogle広告を通じてゼロデイ脆弱性を悪用したソフトウェアをインストールさせようとしたりすることもあります。
いくつかの簡単な対策で自分自身を保護できます。
- パッチやアップデートがリリースされたらすぐにインストールしてください。Windowsはデフォルトで自動的にインストールするため、特に変更する必要はありません。Sumoなどのツールを使用して、Windowsアプリケーションの利用可能なアップデートを検索してください。
- 製造元の Web サイトなどの信頼できるソースからのみソフトウェアをダウンロードしてください。
- 本当に必要なプログラムだけをインストールしてください。コンピューターにソフトウェアが多ければ多いほど、潜在的な脆弱性も増えます。
- ファイアウォールを使用してください。Windows ファイアウォールはデフォルトで有効になっているため、無効にしないでください。
- 犯罪者が使用する典型的なフィッシングの手口について知ろう。
アップデートで問題が発生した場合はどうすればよいですか?
新しく検出された脆弱性を排除するために、Windows の毎月のセキュリティ更新プログラムとパッチを常に直ちにインストールする必要があります。
ただし、Windows Updateのインストールは必ずしも成功するとは限りません。オペレーティングシステムがエラーメッセージを表示してプロセスを中止する場合があります。その場合は、以下の手順をお試しください。
1. アップデートファイルをダウンロードするだけでは問題が解決しないことがよくあります。解決策は、アップデートキャッシュを空にして再試行することです。最も簡単な方法は、Windowsのトラブルシューティングツールを使用することです。スタートメニューの「設定」を開き、「システム」タブの「トラブルシューティング」→「その他のトラブルシューティング」をクリックします。次に、「Windows Update」の「実行」をクリックし、「閉じる」をクリックします。WindowsキーとRキーの組み合わせで「ファイル名を指定して実行」ウィンドウを開き、コマンド「shutdown /g」を入力して「OK」をクリックし、Windowsを再起動します。その後、アップデートを再度インストールしてみてください。
2. Cドライブの空き容量が不足していることがよくあります。エクスプローラーを開いて「PC」を選択し、空き容量が十分にあるかどうかを確認してください。Cドライブには少なくとも32GBの空き容量があるはずです。空き容量が十分でない場合は、「システム」の「プロパティ」にある「メモリ」オプションを開き、「メモリの最適化」を「オン」に設定します。「クリーンアップの推奨事項」をクリックし、「大きなファイルまたは未使用のファイル」と「未使用のアプリ」の項目に特に注意してください。Windowsのごみ箱も空にしてください。
マイケル・クライダー/IDG
3. 更新プログラムを手動でインストールしてみてください。「設定」→「システム」→「Windows Update」と「更新履歴」で、更新が失敗したというメッセージを確認してください。更新プログラムのKB番号をメモし、www.catalog.update.microsoft.com のWindows Updateカタログに入力してください。更新プログラムがお使いのWindowsのバージョンと一致していることをご確認の上、ダウンロードして手動でインストールしてください。
4. Microsoft Defender以外のウイルススキャナーをご利用の場合は、一時的にアンインストールしてください。その後、Windowsを再起動し、アップデートを実行してみてください。
5. フラッシュドライブや外部ストレージなどの接続されている USB デバイスをすべて取り外します。
6. Windowsのコントロールパネルを開き(タスクバーの検索ボックスに「control」と入力するのが最も簡単な方法です)、デバイスマネージャーを起動します。疑問符付きの項目が表示された場合は、右クリックして「デバイスのアンインストール」を選択し、このハードウェアを削除してください。その後、アップデートを実行してみてください。再起動すると、Windowsがデバイスを再び認識し、最新のドライバーがインストールされます。
7. パソコンのドライバーを更新してください。Driver Booster Freeなどのツールを使用して、古いバージョンのドライバーがないか確認してください。最新バージョンをダウンロードしてインストールし、Windows Updateを再度インストールしてみてください。
ドライバーが最新であることを確認してください。例えば、Driver Booster Freeというツールを使えば、古いバージョンを検索できます。
IDG
この記事はドイツ語から英語に翻訳され、元々はpcwelt.deに掲載されていました。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
