例えばeEye Research Teamでは「TagBruteForcer」というFuzzingツールを公開しているが、このツールを利用してIE、Flash、Shockwaveなどのバッファオーバーフロー脆弱性を多数発見している。
Fuzzingツールを利用することで、短時間で大量パターンのテストが実施可能となる。インターネット上ではさまざまな用途のFuzzingツールがフリーツールとして公開されており、誰でも入手可能である。ソフトウェアのバグを探し出すことで、脆弱性の修正や品質向上に一役買っているが、一方で、悪意ある人物による新たな脆弱性の発見とゼロデイ攻撃に悪用されるという側面を持っている。
また、組み込み機器を対象とするExploitが7%と、予想以上に多かった。
そこで、過去4年間の組み込み機器を対象としたExploitの公開件数を改めて調査してみると、徐々に増加し、2006年には大幅に増えていることが分かる(表1)。組み込み機器は汎用OS、アプリケーションと比較して十分なセキュリティ監査が行われておらず、古典的な脆弱性がまだまだ残っていると言われている。
PCを対象としたexploitにおいてクライアントを対象としたものが増加しているように、ルータなどのネットワーク機器に加え、VoIP電話、携帯端末なども対象となってきている。
年 | 組み込み機器を対象としたExploitの件数 |
---|---|
2003年 | 4件 |
2004年 | 6件 |
2005年 | 6件 |
2006年 | 19件 |
「ゼロデイ」とは、パッチが正式にリリースされる前に公開されてしまうExploitや攻撃のことを言う。解決策が存在しないままExploitが登場するため、その分危険性も高まる(関連記事)。
ゼロデイのExploitを見ると、平均で月に17件以上公開されており、しかもその割合は年々増加している。前年の調査対象ではゼロデイは46%だったのに対し、今回は対象Exploitの66%がゼロデイだった。
一般に、パッチの開発にはExploitの開発期間の10倍も時間が掛かると言われている。MicrosoftやRedHatといった大手のベンダーでは、ゼロデイに対するレスポンス体制が整っており、1カ月以内にパッチがリリースされるケースも比較的多い。
一方、フリーウェアやマイナーなオープンソースソフトウェア、ローカルなソフトウェアの中には、メンテナンス体制が整っていないものもある。Exploitが公開されても対応パッチがリリースされないケースも多数見られた(表2)。
Exploit公開から対応までの期間 | 割合 |
---|---|
1週間以内 | 11% |
1カ月以内 | 11% |
1カ月以上 | 8% |
未対応もしくは不明 | 26% |
なお先日、eEye Research Teamでは、ゼロデイに関する情報ページ「Zero-Day Tracker」を公開した。このWebサイトでは、一般公開されているゼロデイExploitに対するパッチのリリース状況が公開されている。
次に、Windowsの脆弱性を狙ったExploitがどのようにボットに利用されたか、幾つかの例を取り上げてみよう。
Copyright © ITmedia, Inc. All Rights Reserved.