近年マルウェアの問題はたびたび大きく取り上げられ、セキュリティ担当者にも多くの知識を求められるようになりました。セキュリティソフトを導入して個別のコンピュータを防御し、社内のセキュリティポリシーを策定すると同時に教育を行い、悪意ある攻撃から企業が受けるダメージを未然に防ぐことは必須となっています。しかしそのような対策を施すべきだと言われているにも関わらず、いまだに情報流出やサーバの停止など、悪意ある攻撃のニュースがなくなることはありません。
今回は、悪意ある攻撃の総称である「エクスプロイト(攻撃)」という言葉について解説いたします。エクスプロイトとはいったい何か、マルウェアとはどう違うのかなど、基礎的な知識を身につけることで、セキュリティ担当者としてもう1ランク上を目指しましょう。
エクスプロイト(exploit)とは何か?
エクスプロイトという動詞は、『資源などを開発する』という意味です。さらに2つ目の意味として『(ユーザーを)私的に利用する』『(ユーザーから)搾取する』という意味が存在しています。この2つ目の意味がセキュリティにおける「エクスプロイト」です。具体的にはセキュリティホールなどソフトウェア/ハードウェアに存在する脆弱性を使用して悪意を実施するスクリプトやプログラムのことを指します。
以前は「エクスプロイト・コード」と呼ばれており、クラッカー(ブラックハッカー)の間においてよく使われていたスラングが源流です。さらにたどるともともとはゼロデイ脆弱性などに対する「攻撃の実証コード(概念コード)」を指しており、ホワイトハッカーの間などでもよく使われていました。
マルウェアとの違いはどこにあるのか
さて、ではエクスプロイトとマルウェアの違いはどこにあるのでしょうか。
マルウェアの多くは、自動的に感染を引き起こされ、自己増殖性や拡散性を兼ね備えた感染したコンピュータを利用する「ウイルス」です。一方でエクスプロイトは悪意ある第三者が意思をもって攻撃しているプログラムなどを指します。
つまり、マルウェアの一部がエクスプロイトであることは間違いありません。しかし、エクスプロイトの場合、多くが悪意ある第三者がネットワーク越しに待ち構えている状態にあります。特定のコンピュータのセキュリティホールの検知を契機として、多種多様な手法によって、そのコンピュータに対して攻撃を実施します。
エクスプロイトの攻撃は主に2種類に大別され、「DoS攻撃」と「権限昇格攻撃」がその主体となっています。前者はサービスに対する障害の誘発、サービスの停止を目的としたものです。後者は対象のコンピュータの権限を掌握し、「第三者がそのコンピュータを自由に操れる状態にすることで様々な情報の搾取や、計算資源の掌握を行う」ことを目的としています。
後者の攻撃によって引き起こされるダメージは甚大です。情報流出の事件の大半がエクスプロイトによって引き起こされていると考えて良いでしょう。
エクスプロイトを検知・検出するためには
このように、エクスプロイトは悪意ある第三者が待ち構えているため、被害にあった際のダメージが大きくなりますが、被害が大きくなるもう1つの理由に「エクスプロイト・キット」の存在があります。「エクスプロイト・キット」とは、複数の既知の脆弱性に対するエクスプロイト、場合によってはブラックハッカーの手によって発見されたゼロデイの脆弱性に対するエクスプロイトなどを複数束ねて、特定のサーバに対して一斉に攻撃を実施するパッケージソフトです。
これらのキットがダークウェブ上で売買されれば、悪意を持った、それほど技術のない人間でも容易にエクスプロイトを活用して攻撃ができるようになってしまいます。そのためセキュリティ担当者は、コンピュータのエクスプロイトからの防御に最大限の注意を払わねばなりません。
ただ、エクスプロイトに対する防御方法は至って単純です。その方法は、「セキュリティソフトの導入・万全のアップデート」と「使用しているソフトウェアのセキュリティパッチを万全にする」という2点に尽きます。
ダークウェブ上でエクスプロイト・キットに含まれるような脆弱性の多くは既知のものであることが多く、十分にアップデートを行っていれば容易く攻撃を受けることはありません。また、セキュリティソフト上にはエクスプロイトからの攻撃を防ぐ様々な機能も存在しています。
セキュリティソフトのエクスプロイト防止機能
エクスプロイトの入り口はエクスプロイト・キットだけではありません。フィッシングメールの添付ファイルなどを経由して感染を図るものも多く存在しています。もちろんセキュリティソフト上ではこのような悪意あるメールを分析する機能などを用いて、感染を事前に防ぐことが可能です。さらに、エクスプロイトの大半が目的としている『権限昇格』などの動作を事前に検知することで、未知のエクスプロイトに対する防御も可能となっています。
エクスプロイトは決して「知らない恐怖」ではなく、セキュリティソフトの開発側からしてみれば「既知の恐怖」です。それらに対する回答も用意されているのは当然と言えるでしょう。
まとめ 正しく恐れるエクスプロイトと、セキュリティソフトの重要性
インターネットが発達することによって多くの情報がウェブ上に存在するようになりました。情報が価値を持つことで便利になったと同時に、悪意ある人間から取ってみても攻撃をしやすくなっているのは間違いありません。
さらに、開発能力の無い人間であってもダークウェブなどの存在により、ネットワークを介した攻撃手段を手に入れられるようになっています。エクスプロイトはまさにそういった側面の一部と言えるでしょう。
セキュリティ担当者として正しくエクスプロイトの事を知り、それに対してどのように備えるべきなのかは十分に理解していただけたかと思います。セキュリティソフトの導入は当然ですが、セキュリティポリシーなどの教育を介して正しい知識を社員に共有することも大切です。