ゼロデイ攻撃への最良の対抗策は昨日に戻ること

現在、企業が直面している最も防ぎにくい脅威が「ゼロデイ攻撃」です。ゼロデイ攻撃は、パッチや回避策が出回る前に、攻撃に晒される脆弱性やソフトウェアの欠陥として発見されます。脆弱性はオペレーティングシステム、アプリケーション及びハードウェアに潜んでいます。時には、一般には知られていないゼロデイ脆弱性でも、サイバー攻撃者や、ブラックマーケットでゼロデイ脆弱性情報を販売しているサプライヤだけは知っていることもあります。そうでなければ、ソフトウェアベンダーは脆弱性を認識しているものの、パッチはまだ提供されていない場合です。

これは企業にとっては非常に危険なことです。なぜならば、マルウェア定義やアンチウイルスをアップデートしてもゼロデイ攻撃を防ぐことはできず、パッチを当てたくてもそのパッチが無いという状況に陥るからです。多くの場合、複数のレイヤーを使う「多層防御」セキュリティでさえも、ゼロデイ攻撃からIT資産を守る為には十分ではありません。SymantecのIntelligence Reportによると、2014年にはゼロデイ脆弱性のトップ5が、多くの企業で295日もパッチ無しに放置されていたと言うことです。

Microsoftへの攻撃

Microsoftのソフトウェアを狙ったゼロデイ攻撃は、多くの場合、Microsoftがパッチをリリースした直後に行われています。サイバー犯罪者は、Microsoftの毎月の定期セキュリティアップデートを利用できることに気がつきました。Patch Tuesday (Microsoftが毎月第2火曜日にパッチをリリースする) の直後に新しい攻撃を仕掛けるのです。この攻撃によってMicrosoftは新しい脆弱性に気づくのですが、次のアップデートまで1ヶ月あるため、その間脆弱性が放置され、非常に危険な状態になります。セキュリティの専門家はこれを「Zero-day Wednesday」と呼んでいます。

パッチや回避策を待っている間、企業は非常に危険な状態に置かれ、それを解決する「銀の弾丸」は存在しません。ただ、企業ができることとして、バックアップがきちんととられているかを確認することがあります。ソフトウェア/ハードウェアベンダーから特定の脆弱性に関する発表があれば、最も脆弱な、あるいは影響を受けそうなサーバーから優先的に対処できます。

ゼロデイ攻撃の影響を軽減するために役立つステップをご紹介します:

  • 脆弱なアプリケーションについては、個別にバックアップポリシーを設定する
  • (目標復旧時点) にバージョニングを含める
  • 仮想または物理的予備サーバーを用意する
  • OS全体のイメージのクローンを作成する
  • ゼロデイ攻撃に対するテストする

そしてもちろん、常にソフトウェア/ハードウェアベンダーからの告知に注意して脅威に先行します。