「ゼロクリック」攻撃の脅威
2024 年 2 月 22 日 Carlos Arna 著
サイバーセキュリティにおける最大の脆弱性はユーザである、と度々語られます。たとえば、ベライゾンの2023年データ漏洩調査報告書によれば、調査対象となったデータ侵害の 74% が、ヒューマンエラー(ソーシャルエンジニアリング攻撃、システムの欠陥や使用上のミス)に起因することが確認されています。
ここ最近はさまざまな脅威が台頭してきており、その中にはたとえばゼロクリックマルウェアと呼ばれるマルウェアもあります。このような水面下で進行するタイプの脅威を際立たせるのは、ユーザの操作を必要としない点、そしてデバイスやネットワークが、ユーザが気づかぬうちに密かに侵害されるという点です。
ゼロクリック攻撃とは?
ゼロクリックハッキングは、他のサイバー攻撃と違い、標的となるユーザがアクションを起こすことなく実行可能なものです。つまり、悪意のあるリンクを踏んだり、添付ファイルを開いたり、不正なプログラムをインストールすることなく、デバイスが侵害されるということです。これが特に危険である理由は、まず検出や予防が困難であることが一点。そしてシステム内におけるハッカーの長期にわたる滞在、データの不正な抽出、盗聴、別の攻撃への進展を可能にする点もあります。ではこの攻撃はどのように起こるのでしょうか? ゼロクリックハッキングは以下のような段階を経て発生します。
- サイバー犯罪者が、アプリケーションや OS の脆弱性を悪用する。
- 不正なコードが、電子メールやテキストメッセージ、PDF ファイル、イメージ、テキストなどに容易に隠される。
- アクセスを獲得し次第コードがアクティベートされ、スパイウェアがデバイスに感染する。デバイス上のデータにアクセスされ、機密性の高いメール、通話、テキストメッセージ、システムログイン情報などが閲覧される。
ここ最近、インターネット上に公開されている 5,300 個以上の GitLab インスタンスから脆弱性が発見されました。この欠陥は、攻撃者が、特定のアカウントにおけるパスワードリセットメールを、自身の管理下にあるメールアドレスへ送信することを可能にするものでした。その後パスワードを変更して、アカウントを乗っ取ります。この欠陥では、二要素認証(2FA)が有効であった場合には、攻撃者がそれを回避できるものではありませんでした。しかし、標的となったアカウントに 2FA が備わっていなかった場合には、重大な脅威となります。
2023 年 12 月には、研究者によって、Microsoft Outlook にある 2 つの脆弱性が発見されました。それは、2 つが組み合わされて影響を及ぼした場合に、ユーザが何もクリックしなくてもシステム上で任意のコードを実行できるようになるというものでした。
ゼロクリック攻撃を防ぐには
ゼロクリックマルウェアから身を守るには、プロアクティブで多層防御を持つサイバーセキュリティアプローチが必要です。そのためには、以下の戦略が推奨されます。
- MFA の利用:
MFAは、セキュリティ層を追加し、ゼロクリック攻撃に対する防御となります。もし攻撃者が、既存のソフトウェアの脆弱性を用いて認証情報を得た場合でも、このテクノロジがあれば、情報がログインに不正利用され、かつそれがさらなる他の攻撃を呼び起こす事態を防ぐことが可能です。GitLab での攻撃でもそうだったように、MFA が備わっていれば、攻撃を行う際に、ハッカーも追加の認証を余儀なくされます。 - ソフトウェアのアップデートとパッチ適用:
ゼロクリックハッキングのリスクを減らすためには、定期的にソフトウェアを更新し、パッチを適用することが肝要です。開発者は脆弱性に対応するために頻繁にアップデートをリリースしています。ユーザはそのようなアップデートを即時インストールし、攻撃者の潜在的なエントリーポイントをふさいでおく必要があります。 - 高度なエンドポイントセキュリティを備える:
進化したエンドポイントセキュリティには、ゼロクリック攻撃を検知し、予防する機能があります。つまり、システムのふるまいを分析し、悪意のあるアクティビティを見つけて不審なコードの実行をブロックする機能です。 - ネットワークのセグメンテーション:
ネットワークのセグメンテーションにより、マルウェアの水平移動の可能性を減らしてネガティブな影響を抑え、ネットワークの重要な部分を安全に切り分けておくことが可能です。ユーザの役割を厳密に分け、アクセスコントロールも厳しく行うことで、「ゼロクリック」攻撃が起きた際のダメージを抑えることができます。
高度な脅威への対応についてさらに詳しくお読みになりたい場合は、以下の記事をご覧ください。
Ransomware is relentless: what can you do to protect against it?(英語)
Ducktail malware: what is it and why are businesses so concerned about it?(英語)
ChatGPT が作成するポリモーフィック型マルウェア