第26回防ぎようがない脅威「ゼロデイ・エクスプロイト（ゼロデイ攻撃）」

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

ソフトウエアには、必ずバグ（不具合）が存在する。悪質なハッカーや攻撃者はそういった不具合を利用してコンピューターを不正に操作したり、データにアクセスしたり、あるいはコンピューターやインターネットを完全に乗っ取ったりするのだ。このようにプログラムの不具合や脆弱性を不正に利用することを、「エクスプロイト」（英語で「利用する、つけ込む」の意）と言う。

ソフトウエアの製造元がエクスプロイトの存在に気がつけば、もちろんできる限り早い段階で脆弱性を修正したり、ユーザーが被害に遭わないようにセキュリティーのアップデートを提供したりする。ここで問題になるのが、ソフトウエアの製造元すら気がつかない、新しいタイプのエクスプロイトだ。この最新のエクスプロイトを「ゼロデイ・エクスプロイト
（ゼロデイ攻撃）」と呼ぶ。

ITセキュリティーの研究者がこのゼロデイ・エクスプロイトを発見すれば、ソフトウエアの製造元に通知して修正を促すのだが、悪質ハッカーに発見されるとネット上で競売にかけられるケースもある。落札者のなかには情報機関や政府も含まれており、落札価格は数百万ユーロに上るほど高額だ。そのため、常に悪質なハッカーはネット上にゼロデイ・エクスプロイトが存在していないか巡回している。

悪用された有名な例が、2010年に米国とイスラエルの情報機関が開発したことで知られるマルウェア*「スタックスネット」だ。このスタックスネットは、イランのウラン濃縮施設のネットワークに侵入して攻撃し被害を与えた。このマルウェアにはゼロデイ・エクスプロイトが4つも含まれていたという。このように、ゼロデイ・エクスプロイトを利用すれば、最高レベルの機関のセキュリティーも突破し、機密施設全体を攻撃することも可能なのだ。

残念ながらこのようなゼロデイ・エクスプロイトからコンピューターを守ることは、現段階ではほぼ不可能になっている。しかし、定期的にセキュリティーのアップデートを行えば、少なくともエクスプロイトの発見から5〜10日後に急増する傾向にある便乗攻撃の被害を防ぐことは可能だ。そのため、読者の方々には、セキュリティーアップデートはできるだけ早急に行うことをおすすめする。

※悪意のあるソフトウエアのこと

機密機関のセキュリティーをもかいくぐって攻撃が可能なゼロデイ・エクスプロイト