ノートン セキュリティのお客様 (さらに 22.5.4 以降のノートン Windows クライアントを使用しているすべてのお客様) は、新しい保護フレームワークである「未知の脆弱性保護」 (PEP) をご利用になれます。これは、Windows のアプリケーションやオペレーティングシステムそのものの未確認または未修正のセキュリティホール (脆弱性) の悪用を試みる、いわゆる「ゼロデイ」攻撃に対し Windows デバイスをより強固に保護することを目的としています。PEP は、増え続けるゼロデイ攻撃の複数の種類について侵入を阻止する 3 つの強力な保護技術を備えています。

「ゼロデイ」攻撃の基礎知識

セキュリティの研究者や善良なハッカーが、研究対象のソフトウェアで脆弱性を発見することがあります。彼らは影響を受けるソフトウェアベンダーにそのことを知らせ、隠れていた脆弱性を解決する「パッチ」の配信に協力します。しかし、悪質な攻撃者が最初に脆弱性を発見した場合、この脆弱性を悪用し、脆弱なソフトウェアを実行中のデバイスに遠隔から不正にアクセスしようとする悪質なコードを作成する可能性があります。

ここ 2 年間、インターネット攻撃の手法としてゼロデイ攻撃の増加が顕著でした。これにはいくつかの要因がありますが、弊社の調査によると、脆弱性を悪用して一儲けしようと企む攻撃者の組織化や職業化が進んでいることが、最近のゼロデイ攻撃の増加の大きな牽引要素であることがわかりました。
 

ゼロデイ攻撃: 頻度の増加と影響の拡大

ゼロデイ脆弱性の数

情報元: ISTR Internet Security Threat Report, Symantec 2015

平均でどれくらいの期間、ゼロデイ脆弱性が修正されないままですか

弊社の分析によると、2014 年に広がった 5 つの主要ゼロデイ攻撃に対し、ソフトウェアベンダーがソフトウェアの修正版を顧客に提供するのに、攻撃後平均 59 日かかりました。この日数には、脆弱性が未発見の状態でユーザーのデバイスに存在していた期間 (通常数カ月、場合によっては数年) や、ユーザーがさらに実際に修正を適用するまでに要した時間は含まれていません。

5 つの主要なゼロデイ脆弱性の修正までの平均期間

2014 年の 5 つの主要ゼロデイ脆弱性に対する修正版公開までの平均日数 - 59 日

未知の脆弱性保護はどのようにしてゼロデイ攻撃の脅威から保護しますか。

ノートンの未知の脆弱性保護技術は、ゼロデイ攻撃に共通のさまざまな悪質な動作を検知し、それら特定の動作をするソフトウェアのみを遮断します。このアプローチの最大の特徴の 1 つは、脆弱性の発見や攻撃の有無にかかわらず、脆弱なソフトウェアをインストールした時点から攻撃に対する保護を提供することです。これは非常に重要です。というのは、ゼロデイ攻撃のほとんどが数カ月間から数年間、発見されずに存在してきた脆弱性を利用する、ということがわかったからです。

現実的に、未知の脆弱性保護はどのようにしてより強固な保護を実現しますか。

2015 年の初め (リンク先は英語) に流行し、広範囲に利用されている Java ソフトウェア環境の脆弱性を悪用した「Pawn Storm 作戦」というゼロデイ攻撃を例に挙げます。Pawn Storm 作戦による攻撃は目的を果たすため、Java の脆弱性を悪用し Java Security Manager として知られるコンポーネントを無効にしました。このケースでは、ノートンユーザーが比較的早く保護されたのに対し (約 1 日後)、Java を使用しているノートン以外のユーザーは、Oracle (Java の開発会社) が Pawn Storm 作戦から Java ユーザーを保護するパッチを公開するまで、さらに 2 日待つ必要がありました。残念ながら、Java ユーザーの多くは、入手可能なソフトウエアの更新版の適用を徹底しておらず、数カ月経っても無防備のままです。

PEP の Java 保護技術は、Java Security Manager を無効にしようと試みるすべてのコードを遮断することで、弊社のお客様を保護するまでの時間差を解消するだけでなく、今後新興する脆弱性犯罪にも対応し、ゼロデイ攻撃に対する完全な保護の提供をさらなる狙いとしています。

Pawn Storm 作戦のタイムライン

ヒープスプレーと構造化例外ハンドラー

Java 攻撃のほかに、ここ数年間マルウェアの開発者が標的にしてきた攻撃カテゴリが主に 2 つあります。ヒープスプレー攻撃: 脆弱なアプリケーション (主に Web ブラウザやブラウザのプラグイン) により実行されることを期待して、メモリの特定位置に悪質なコードを挿入しようと試みる攻撃です。この攻撃に対応するため、PEP は、あらかじめメモリの特定位置に無害なコードを入れておくヒープスプレー防止モジュールを備え、特定位置を不正目的で使用しようとする攻撃を効果的に遮断します。

また、PEP は構造化例外ハンドラーの上書き防止技術も備えています。その名のとおり、構造化例外ハンドラー (アプリケーションの実行中に例外や予期しないイベントが生じた場合に Windows パソコンが行うべき処理を指示するための Windows の特別なルーチン) を悪質なコードが上書きすることを阻止する PEP の機能です。例外処理は、ゼロによる除算や無効なメモリアドレスへのアクセス試行など、不測の事象により呼び出されます。Windows では、カテゴリごとに独自の「ハンドラー」ルーチンのセットが保持されています。残念なことに、悪賢い攻撃者は以下の 3 つの手順でこの例外処理の仕組みを乗っ取る方法に気付きました。

1. メモリの特定位置に悪質なコードを書き込む。
2. 特定の例外 (たとえばアクセス違反) に対する Windows の構造化例外ハンドラールーチンを上書きし、その悪質なコードを参照させる。
3. その例外を誘発して Windows に上書きされたハンドラールーチンを参照させ、悪質なコードを実行させる。

このような方法で、攻撃者はユーザーが特定の (乗っ取られた、または悪質な) Web サイトにアクセスしなくてもデバイスを完全に遠隔操作できるようになりました。これに対する PEP の保護戦略は、Windows の構造化例外ハンドラーの上書きを見張り、阻止する。これだけです。このようにして、PEP はこのアプローチを用いる多様なゼロデイ攻撃に対抗します。

未知の脆弱性保護の約束

PEP は、早期の保護という従来の保護から、未発見の隠れた脆弱性さえ事実上修復してシステムを強固に守る即応のプロアクティブ保護に移行してご利用いただけるという大きな利点をノートンのお客様に提供する革新的フレームワークです。ビヘイビアベースのシステムは、その性質上、効果を持続させるのにシグネチャの更新に依存しないこともさらなる利点です。数カ月から数年もの間、修復や発見されない脆弱性が存在する一方で、ゼロデイ攻撃が増え広がり続けている今日の世界で、PEP はお客様のデジタルライフにとって非常に効果的で重要な保護層になります。