ゼロデイ脆弱性.

ゼロデイ脆弱性という名称は、それが表面化した時点で防御側に修正を準備する「ゼロ日」しか猶予がないことに由来します。こうした欠陥は極めて価値が高く、政府、攻撃コードのブローカー、犯罪グループは動作する攻撃コードに 6 桁から 7 桁(数十万から数百万ドル)の金額を支払い、APT 攻撃者は隠密侵入のためにそれらを利用します。

両極端を示す 2 つの事例があります。Stuxnet(2010 年)は、LNK ショートカットの欠陥 CVE-2010-2568 を含む 4 つの未知の Windows ゼロデイを連鎖させ、オフライン環境で拡散してイランのウラン濃縮用遠心分離機を破壊しました。FORCEDENTRY(CVE-2021-30860)は、2021 年 9 月に Apple がパッチを公開したもので、CoreGraphics の画像パーサにおけるゼロクリックの整数オーバーフローでした。これは NSO Group の Pegasus が、ユーザーの操作を一切必要とせずに iPhone を侵害するために使用しました。Google の Threat Analysis Group は、近年、実環境で悪用されるゼロデイが記録的な数に達していることを追跡しており、その大半はブラウザ、モバイル OS、セキュリティアプライアンスに存在します。

ゼロデイへの防御は多層的な統制に依存します。悪用緩和策(ASLR、CFG/CET、サンドボックス)、ポスト悪用活動を検知する振る舞いベースの EDR/XDR、ネットワーク分割、WAF/IPS による仮想パッチ、そして研究者が発見した際の迅速な協調的開示などです。ベンダーが修正を出荷すると、その問題は N-day 脆弱性となります。全員がパッチを適用するまでは依然として危険です。

flowchart LR
  A[欠陥が存在しベンダーは未認知] --> B[攻撃者が欠陥を発見]
  B --> C[攻撃コードへ武器化]
  C --> D[実環境での悪用]
  D --> E[ベンダーが攻撃を認知]
  E --> F[パッチを公開]
  F --> G[現在は N-day 脆弱性]