クイズ「情シス部門が知っておきたいテーマ」
Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
2020年4月
クエスチョン
Internet Explorerの未修正の脆弱性を突いた攻撃とは?
- ゼロデイ攻撃
- F5アタック
- 水飲み場型攻撃
- DDoS攻撃
アンサー
1. ゼロデイ攻撃
解説
2020年1月にInternet Explorer(以下、IE)の未修正の脆弱性を突いた攻撃が発生しました。ユーザーはIEを使って不正なWebサイトにアクセスしてしまうと、乗っ取りなどさまざまな被害を受けてしまいます。
このようにソフトウェアの未修正の脆弱性を突いた攻撃は「ゼロデイ攻撃」(または「ゼロデイアタック」)と呼ばれます。修正プログラムが提供される前に、その脆弱性を悪用して攻撃する手法です。そもそもの原因が脆弱性にあるため、ユーザーはたとえセキュリティ対策ソフトを入れていても、確実に被害を受けてしまいます。
先述のIEの未修正の脆弱性を突いた攻撃では、IEの開発元であるMicrosoft社から脆弱性の情報が公表されたのが2020年1月20日(日本時間)で、修正プログラムが提供されたのが同年2月12日。その間は脆弱性が残ったままで、ゼロデイ攻撃の被害を受ける恐れがありました。Microsoft社は公表当初、修正プログラムの提供は明言しておらず、ユーザーはIEの使用自体をやめるか、脆弱性がある機能を無効化するよう設定変更した上で使うしかなかったのです。
今後ゼロデイ攻撃があれば、どう対応すればいいのでしょうか。主な対策としては「まずは該当するソフトウェアの使用をただちにやめる」「その後、どうしてもそのソフトウェアを使う必要に迫られたら、もし有効な対策があるなら、それを実施した上で慎重に利用する」の2点になります。また、IPA(情報処理推進機構)のWebサイトなどでも対策は公表されています。
もっとも、今回のIEへの攻撃では有効な対策があったものの、他のケースでもあるとは限らないので、使用をやめるのが基本です。そして、修正プログラムが提供されたらすぐに適用する。今回のIEのケースなら、Windows Updateで適用できます。これで再び安全に使えるようになります。無論、修正プログラムが提供されても、未適用なら脆弱性は修正されないので、ゼロデイ攻撃のリスクは残ったままです。
なお、本クイズ選択肢2の「F5アタック」は、悪意ある複数のユーザーが[F5]キーを連打し、攻撃対象のWebサイトにアクセスを集中させて、サービスを妨害する攻撃手法。これを防ぐには特定のIPアドレスの遮断が有効でしょう。
3の「水飲み場型攻撃」は攻撃対象のユーザーがよく利用するWebサイトを改ざんし、アクセスしただけでマルウェアに感染させる攻撃手法です。不審サイトに訪問しない、セキュリティ対策ソフトをこまめに更新する、などで対策しましょう。
4の「DDoS攻撃」は攻撃対象のWebサイトに複数のコンピューターからアクセスを集中させて、サービスを妨害する攻撃手法です。F5アタックは人間が手動でアクセスしますが、DDoS攻撃は通常、乗っ取ったコンピューターなどを使い自動でアクセスします。これもF5アタックと同様に特定のIPアドレスの遮断が有効です。
仕事やプライベートでPCやスマートフォンを使うのは当たり前の時代になっています。こういう時代からこそ、脆弱性をついた攻撃はこれからも出てくるでしょう。もし攻撃に遭った場合は、どういう攻撃か見極め、適切な対応をとるように心がけてください。
クイズ「情シス部門が知っておきたいテーマ」
- なぜ迷惑メールは増え続けるのか?
- 設定してはいけないパスワードのタイプは?
- 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
- MITB攻撃で実際にあう被害は?
- 遠隔操作ウィルスによる犯罪は?
- セキュリティの新しい国家資格は?
- Miraiウイルスの主な感染先は?
- セキュリティ研修はどう実施すべき?
- 標的型攻撃メールの被害を受ける要因は?
- 内部不正による情報漏えいはどんな立場の人が多い?
- 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある?
- AIとIoTのエンジニア育成に注力する省庁は?
- 大手コンビニに導入予定の認証技術は?
- 今年最も懸念されるセキュリティの脅威は
- スマホがウイルスに感染? その兆候とは
- ヤフーが新たに採用した認証方式とは?
- QRコード決済が乱立。解決を主導する省庁は?
- あと数年で何が起こる!? ITシステム「2025年の崖」とは?
- 今後は実施が必須!? 「サイバー防災訓練」とは
- ブラウザに「これってサポート詐欺?」と思う警告画面が出てきたら?
- フェイスブックが新たに発表した仮想通貨の名称は?
- 被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
- 変化するマルウエア。2019年秋頃から被害が増えているのは?
- Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
- 企業の無線LANのセキュリティ対策で正しくないのは?
- IPAの情報セキュリティ10大脅威。2020年の個人部門1位は?
- スマホを水中に落とした!水から引き上げたらまずやるべきなのは?
- メガネ型のウェアラブルデバイス、○○グラスとは?
- 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする?
- 2020年秋から攻撃急増!「Zerologon」とはどんな攻撃?
- パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
- 知らぬ間に、Googleに保存していた大切なデータが消えている!?
- IoTと何が違う!? 次世代のトレンド「IoB」とは
- パスワード流出で何が起きる? どう防げばいい?
- 手をかざすだけで触っている感覚が得られる技術とは?
- 今の時代、プログラミングの知識ゼロでもアプリを開発できる!?
- 最近トレンドの「何も信頼しない」が前提のセキュリティとは?
- これなら安全! 2種類以上の方法による認証方式とは?
- 何が違うの? 電子契約に欠かせない「電子印鑑」と「電子署名」とは
- アプリケーションを誰でも使いこなせるようにする仕組みとは?
- 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは?
- Windows 10のサポート終了はいつ? 何が困る?
- 最先端技術を活用して未来都市を実現する日本政府の構想とは?
- 本人と見分けつかない!? 偽動画によるビジネス詐欺に注意