ボットにも悪用されるExploit、その傾向を探る:年末緊急特番!ボットネット対策のすすめ(2/3 ページ)
例えばeEye Research Teamでは「TagBruteForcer」というFuzzingツールを公開しているが、このツールを利用してIE、Flash、Shockwaveなどのバッファオーバーフロー脆弱性を多数発見している。
Fuzzingツールを利用することで、短時間で大量パターンのテストが実施可能となる。インターネット上ではさまざまな用途のFuzzingツールがフリーツールとして公開されており、誰でも入手可能である。ソフトウェアのバグを探し出すことで、脆弱性の修正や品質向上に一役買っているが、一方で、悪意ある人物による新たな脆弱性の発見とゼロデイ攻撃に悪用されるという側面を持っている。
また、組み込み機器を対象とするExploitが7%と、予想以上に多かった。
そこで、過去4年間の組み込み機器を対象としたExploitの公開件数を改めて調査してみると、徐々に増加し、2006年には大幅に増えていることが分かる(表1)。組み込み機器は汎用OS、アプリケーションと比較して十分なセキュリティ監査が行われておらず、古典的な脆弱性がまだまだ残っていると言われている。
PCを対象としたexploitにおいてクライアントを対象としたものが増加しているように、ルータなどのネットワーク機器に加え、VoIP電話、携帯端末なども対象となってきている。
| 年 | 組み込み機器を対象としたExploitの件数 |
|---|---|
| 2003年 | 4件 |
| 2004年 | 6件 |
| 2005年 | 6件 |
| 2006年 | 19件 |
ますます増加する「ゼロデイ」Exploit
「ゼロデイ」とは、パッチが正式にリリースされる前に公開されてしまうExploitや攻撃のことを言う。解決策が存在しないままExploitが登場するため、その分危険性も高まる(関連記事)。
ゼロデイのExploitを見ると、平均で月に17件以上公開されており、しかもその割合は年々増加している。前年の調査対象ではゼロデイは46%だったのに対し、今回は対象Exploitの66%がゼロデイだった。
一般に、パッチの開発にはExploitの開発期間の10倍も時間が掛かると言われている。MicrosoftやRedHatといった大手のベンダーでは、ゼロデイに対するレスポンス体制が整っており、1カ月以内にパッチがリリースされるケースも比較的多い。
一方、フリーウェアやマイナーなオープンソースソフトウェア、ローカルなソフトウェアの中には、メンテナンス体制が整っていないものもある。Exploitが公開されても対応パッチがリリースされないケースも多数見られた(表2)。
| Exploit公開から対応までの期間 | 割合 |
|---|---|
| 1週間以内 | 11% |
| 1カ月以内 | 11% |
| 1カ月以上 | 8% |
| 未対応もしくは不明 | 26% |
なお先日、eEye Research Teamでは、ゼロデイに関する情報ページ「Zero-Day Tracker」を公開した。このWebサイトでは、一般公開されているゼロデイExploitに対するパッチのリリース状況が公開されている。
ボットによるExploitの「利用」
次に、Windowsの脆弱性を狙ったExploitがどのようにボットに利用されたか、幾つかの例を取り上げてみよう。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。