知って得するサイバーセキュリティ講座｜トーテックサイバーセキュリティ研究所

情報BOX 【知って得するサイバーセキュリティ講座】

第12回ゼロデイ攻撃・標的型攻撃と新型ウイルス対策

2012年10月17日

脆弱性は、それが発見されてから修正されるまでには少なからず時間が必要とされます。そのため、セキュリティフィックス（※1）が行われパッチ（※2）が告知されるまでの間に、その脆弱性が攻撃されると、被害が拡大する可能性が高くなります。

このように、ソフト開発会社によってセキュリティフィックスが行われる前に、未知・未修正な脆弱性を攻撃することを、「修正される日（one day）の前」から、ゼロデイ攻撃といいます。

では、ゼロデイ攻撃に対しては何もできないかというと、そうではありません。

セキュリティフィックスが行われていない脆弱性に対する攻撃の検知や防御には、ウイルス対策ソフトが有効です。防御する対象であるウイルスの特徴が記録されたパターンファイル（これをシグネチャという）を最新に更新することで、ゼロデイ攻撃を行うマルウェアのシグネチャから、攻撃を検知し防御することが可能だからです。

ただし、シグネチャを使ってマルウェアを判定するブラックリスト型のウイルス対策ソフトの場合、ソフト開発会社によってマルウェアが発見され、シグネチャが登録されなければ、検知できません。つまり、標的型攻撃に使われるマルウェアのように、テーラーメードタイプのマルウェアは、検知できないのです。

そのため、ウイルス対策ソフト開発会社は標的型攻撃に対するため、ホワイトリスト型のものを開発しています。ブラックではなく、ホワイト。つまり、「危険なものを排除する」のではなく、「実行してよいソフトウェアのみ許可する」方法です。実行してよいソフトウェアのシグネチャを登録しておくことで、登録されていないマルウェアの実行を拒否することができます。

また、HIPS（Host-based Intrusion Prevention System＝ホストベース侵入検知システム）と呼ばれる、脆弱性を攻撃しシステムを悪用する活動に特有な挙動を検知することで、実行を強制的に停止するタイプのウイルス対策ソフトウェアも存在します。HIPSは、未知のマルウェアであってもそれを検出し、防御することが可能です。

ただ、ホワイトリスト型でも、HIPS型でも、正常なソフトウェアをマルウェアと誤検知することで、実行が停止されてしまうことがあります。正常なソフトウェアの動作に支障が発生したり、管理が煩雑になったりする場合があることには、注意しておかなければなりません。

残念ながら、一種類のウイルス対策ソフトウェアでは、検知できないマルウェアがあるため、完璧なマルウェア対策を行うことは難しいのが現状です。そのため、営業秘密や国家機密などの重要情報を扱うコンピュータの場合、複数のウイルス対策ソフトウェアを導入することが有用となる場合もあります。

ただし、ウイルス対策ソフトは、複雑な処理を行うことが多いため、複数のウイルス対策ソフトウェアをインストールすると、システム全体が不安定になることがあります。十分なテストを行なった上での運用が必要になります。

（※1）セキュリティフィックス…脆弱性を修正するために行なわれるソフトウェアの改修のこと
（※2）パッチ…一旦完成したプログラムの一部を更新して、バグの修正や小規模なバージョンアップを行なうためのデータのこと

前号へ次号へ

◆ 次回は「Webアプリケーションの脆弱性対策」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第12回ゼロデイ攻撃・標的型攻撃と新型ウイルス対策

情報BOX 【知って得するサイバーセキュリティ講座】