ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
2020.10.05

過去最悪レベルの脆弱性、Zerologonの脅威とは

過去最悪レベルの脆弱性、Zerologonの脅威とは

みなさんこんにちは。長谷川まりです。

「Zerologon」と呼ばれる脆弱性が世の中を騒がせています。8月にMicrosoft社がこの脆弱性に対するセキュリティ更新プログラムを公開していますが、パッチ適用が一刻を争う事態となっています。

Zerologonとは

Zerologonとは、Windows Serverの脆弱性です。パッチ未適用の状態で、攻撃者にドメインネットワークへの侵入を許すと、Zerologonへの攻撃は確実に成功し、ドメインが掌握されてしまいます。Microsoft社は8月に、この脆弱性に対するセキュリティ更新プログラムを公開しましたが、この脆弱性は過去最大級の深刻な脆弱性と言われています。

Zerologonの深刻性

なぜこの脆弱性が、過去最大級に深刻であるとまで言われているのでしょうか。その理由は、攻撃者側に高いスキルが不要である点が大きく影響します。

これまで標的型攻撃の成立には、端末を標的型メール等で感染させ、検知をすり抜けながら標的の情報資産への管理者権限を持った端末まで横展開し、特権ユーザーに昇格させて攻撃を成立させる、という一連のステップを踏む必要がありました。しかし、このZerologonという脆弱性を突いた攻撃では、攻撃を成功させる実証コードが一般に出回っているのです。これにより、高度なスキルがなくても、ドメインネットワーク内で実証コードを実行するだけで、簡単にドメインコントローラの管理者権限を奪取できてしまいます。攻撃成功に必要な条件は、「ドメインネットワークにアクセスすること」だけ。攻撃者は、下記のいずれかが成功すれば良いわけです。

  • ドメインネットワーク内のユーザーのPCをマルウェアに感染させる
  • テレワーク端末を感染させ、その端末がVPN経由でドメインネットワークに入る
  • VPNサーバの脆弱性をついてドメインネットワークに不正アクセスする
  • リモートメンテナンス用にインターネットに公開されたRDPサーバに不正アクセスする

ではドメインコントローラの権限が奪われると、どんな被害が考えられるでしょうか。ドメインに参加しているシステムの情報資産は正面から盗まれ、全てのコンピュータがランサムウェアに感染したり、システムも情報も破壊できてしまいます。つまり「Zerologon」は、1つの企業が倒産してしまうほどの超ハイリスクな脆弱性とも言えます。

一刻も早いパッチ適用が求められる

このような超ハイリスクは、一日でも抱えていることは許容できませんね。一刻も早いパッチ適用が必要となります。パッチ適用については各企業で、既に適用プロセスが確立していることも多いかと思います。しかし、今回のパッチについては、適用要否、優先順位の判断、作業手順…といった通常のプロセスに割り込ませても、最優先で取り組んだほうが良いかもしれません。

このように、Zerologonほどではないにせよ、緊急性の高い脆弱性は、やはり1年に1回ぐらいの頻度で出てきます。今回のような攻撃が、現実の脅威になって大慌てする前に、普段から定期的な脆弱性管理は自動化しておきたいですね。

まとめ

今回のZerologonでは、ドメインネットワークにアクセスできてしまえば簡単に成功し、しかも被害も甚大となる恐ろしいもので、日常的な脆弱性管理の必要性が改めて問われます。また同時に、従来のネットワークの境界の内側を無条件に信頼する境界型モデルではなく、常に情報資産へのアクセス要求を検証し、アクセスする必要のあるものにしかアクセスさせない「ゼロトラストモデル」により、リスクを最小化できることが期待できるかもしれません。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • テレワーク
2021.04.16

仮想デスクトップで使えるWVD(Windows Virtual Desktop)のメリット

テレワーク実現方法の1つ、仮想デスクトップ構築。中でもAzure上で提供されるWVD(Windows Virtual Desktop)は、Microsoftユーザーにメリットを感じやすいかもしれません。その理由を解説します。

  • エンドポイントセキュリティ
2021.03.08

「まだEDRで消耗してるの?」エンドポイントセキュリティの導入課題を考える

マルウェアによる攻撃が後を絶ちません。今回は、その攻撃の入り口となるエンドポイントのセキュリティ対策に焦点を当て、中でも多くの企業で導入検討が進むEDRの課題と解決策をわかりやすい動画で解説します。

  • サイバー攻撃
  • エンドポイントセキュリティ
2021.01.28

ゼロデイ攻撃とは?

先日発表されたグーグルのセキュリティチームの調査結果で、Chromeブラウザに対するゼロデイ攻撃について触れられていました。今回はゼロデイ攻撃は何が怖いのか、未然に防ぐことは難しいのか、内容についておさらいしたいと思います。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る