What is a Zero Day Exploit?

ゼロデイエクスプロイトは、ソフトウェアメーカーがまだパッチを当てていない脆弱性をターゲットにします。 ほとんど知られていない脆弱性を利用することで、これらのエクスプロイトは成功する可能性が高く、従来のサイバーセキュリティ ツールを使用して防御することは困難または不可能です。

ゼロデイ電子ブックを止める

ゼロデイ脆弱性とエクスプロイト

ソフトウェアの脆弱性は、いくつかの異なる方法で発見できます。 場合によっては、脆弱性はソフトウェア製造元によって内部的に発見されたり、外部のセキュリティ研究者によって倫理的に報告されたりすることがあります。 また、サイバー犯罪者によって脆弱性が発見され、悪用されるケースもあります。

 

ほとんどのゼロデイエクスプロイトは、この2番目のカテゴリに分類されます。 この場合、脆弱性が最初に公に悪用されてから、マルウェア シグネチャやソフトウェア アップデートの形で標的を絞った防御策がリリースされるまでには時間がかかります。 これは「デイ ゼロ」と呼ばれ、ゼロデイ脆弱性やエクスプロイトの名前の由来となっています。

ゼロデイエクスプロイトの例

ゼロデイ脆弱性の一例は、Microsoft Exchange サーバーの一連の脆弱性です。 Microsoft は最初にこれらの脆弱性を発見しましたが、パッチ サイクルが遅かったため、サイバー犯罪者がこれらの脆弱性を悪用し始めたとき、多くの Exchange サーバーが依然として脆弱でした。

 

Hafniumは、これらの Exchange の脆弱性を悪用するマルウェアの一例です。 これらの脆弱性を悪用して、脆弱な Exchange サーバーにアクセスし、システム上の権限を昇格させます。 このマルウェアは情報収集を実行するように設計されており、悪用されたシステムからユーザーの資格情報と電子メールを盗もうとします。

ゼロデイエクスプロイトのセキュリティ上の課題

ゼロデイ脆弱性とエクスプロイトは防御が難しいため、サイバーセキュリティ担当者にとって重大な懸念事項です。 ゼロデイエクスプロイトのセキュリティ上の課題には、次のようなものがあります。

 

  • シグネチャの欠如:一部の侵入防止システム(IPS) などの多くのサイバーセキュリティ ソリューションは、マルウェアやその他の攻撃を識別してブロックするためにシグネチャに依存しています。 ゼロデイエクスプロイトでは、サイバーセキュリティ研究者はエクスプロイトのシグネチャを開発してリリースする機会がまだないため、これらのソリューションはそれに気づいていません。
  • 遅いパッチ開発:ゼロデイ エクスプロイトでは、脆弱性が公開された時点 (つまり、脆弱性を悪用した攻撃が実際に検出された時点) でパッチ開発プロセスが開始されます。 脆弱性が公開された後、ソフトウェア製造元は脆弱性を理解し、脆弱なシステムにパッチを適用する前にパッチを開発、テスト、リリースする必要があります。 このプロセス中、保護されていないデバイスは脆弱性を悪用される可能性があります。
  • パッチのデプロイメントが遅い:パッチが作成された後でも、企業がそれを脆弱なソフトウェアに適用するには時間がかかります。 Microsoft からパッチが公開された後でも、Hafnium マルウェアが依然としてデバイスに感染できるのはこのためです。

 

これらの理由により、署名やパッチ適用に基づくサイバーセキュリティへの事後対応的なアプローチは、ゼロデイ脆弱性やエクスプロイトに対しては効果的ではありません。 組織は、これらの新しいエクスプロイトをブロックするために、攻撃をプロアクティブに防止する必要があります。

ゼロデイエクスプロイトから保護する方法

ゼロデイエクスプロイトの場合、組織が直面する主な問題は情報不足です。 セキュリティ チームが特定の脅威に関する情報を持っている場合は、その脅威をブロックするようにセキュリティ ソリューションを構成できます。 しかし、この情報にアクセスし、組織のセキュリティアーキテクチャを通じて広めることは、多くの組織にとって大きな課題です。

 

効果的な ゼロデイ保護 には、次の機能を備えたセキュリティアーキテクチャが必要です。

 

  • 統一: 多くの組織は、運用と保守が困難なポイントセキュリティソリューションの細分化されたコレクションに依存しています。 セキュリティ統合により、ゼロデイ脅威が発見された場合、組織のセキュリティアーキテクチャ全体が協調して脅威を特定して対応できるようになります。
  • 客観対策エンジン:客観対策エンジンは、一般的なマルウェアの機能と攻撃手法を識別するように設計された特殊な検出ソリューションです。 たとえば、仮想対策エンジンは CPU 検査を実行してリターン指向プログラミング (ROP) を検出したり、既知のマルウェアから再利用されたコードを探したりする場合があります。
  • 脅威インテリジェンス:ゼロデイエクスプロイトとの戦いには情報が不可欠です。 高品質の脅威インテリジェンスのソースにアクセスすることで、組織は他人の経験から学び、ゼロデイ脅威が標的となる前に発見できるようになります。

 

チェック・ポイントの予防第一のアプローチは、ゼロデイエクスプロイトのような未知の脅威から効果的に保護する唯一の方法です。 ThreatCloud AI は世界最大のサイバー脅威インテリジェンス データベースであり、1 日あたり平均 860 億件のトランザクションを処理します。 これにより、これまで知られていなかった脅威を毎日約7,000件特定し、組織はシステムに対するこれらのゼロデイエクスプロイトを検出してブロックすることができます。

 

ThreatCloud AI は、人工知能 (AI) を活用してデータを処理し、脅威を検出します。 ゼロデイエクスプロイト検出における AI の重要性について詳しくは、このホワイトペーパーをご覧ください。 また、デモにサインアップして、チェック・ポイントのアドバンストエンドポイント保護ソリューションが組織のリモート ワーカーをゼロデイ脅威からどのように保護できるかを確認することもできます。

スタート

Threat intelligence & research

Zero-Day Protection

Zero-day attack whitepaper

NSS違反レポート

Zero Trust Security

関連トピック

ゼロデイ攻撃

ゼロデイ攻撃の防止

ランサムウェア攻撃

脅威の検出と対応 (TDR)

×
  Feedback
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
OK