Written by 夏野ゆきか
SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。
目 次
エクスプロイトとは?
エクスプロイトとマルウェアの違い
エクスプロイトを助長させる「エクスプロイトキット」と入手経路とは
エクスプロイトの主な感染手口・感染経路
エクスプロイト攻撃への対策
エクスプロイト対策ならLANSCOPEサイバープロテクションにお任せ
まとめ
エクスプロイトとは、OSやソフトウェアなどの脆弱性(セキュリティ上の欠陥)を突いて不正な動作を行うプログラム、もしくはそういったプログラムを利用した攻撃を指します。
マルウェア対策を万全にしていても、エクスプロイト攻撃をきっかけにマルウェアが侵入し、感染させられるケースは少なくありません。
今回はエクスプロイト攻撃の概要に加え、その感染経路や手口、有効な対策について解説します。
▼この記事を要約すると
- エクスプロイトとは、ソフトウェアやアプリケーション、OSなどの脆弱性を突いて不正な動作を行うプログラム(エクスプロイトコード)、もしくはそういったプログラムを利用した攻撃(エクスプロイト攻撃)のこと
- 近年話題の「ゼロデイ攻撃」も、広い意味ではエクスプロイト攻撃の一種
- エクスプロイトはマルウェアと異なり、基本的に自己増殖せず、直接的な被害をもたらす機能がない
- エクスプロイトキットは、複数のエクスプロイトコードをパッケージ化したもので、ダークウェブ(匿名性が高いWebサイト)で非合法に取得・やり取りされているケースが多い
- エクスプロイトの主な感染手口および感染経路として「メール」「Webサイト」がある
- エクスプロイト攻撃には「OSやソフトウェアを最新の状態に保つ」「不正なWebサイト・URLを開かない」「セキュリティ製品の導入」「脆弱性診断」といった対策が有効
またエムオーテックスでは、組織のセキュリティ対策が十分であるか?を簡単に診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ合わせてご活用ください!
エクスプロイトとは?
エクスプロイトとは、ソフトウェアやアプリケーション、OSなどの脆弱性を突いて不正な動作を行うプログラム(エクスプロイトコード)、もしくはそういったプログラムを利用した攻撃(エクスプロイト攻撃)を指します。
※脆弱性…プログラムの設計ミスや不具合などが原因で起こるセキュリティの欠陥
エクスプロイト=「穴をあけるドリルのようなもの」と考えると、わかりやすいかもしれません。
企業・組織のネットワークはセキュリティが強固なので、容易にはマルウェアに感染させることができません。しかし、エクスプロイトによって脆弱性を突くことで、そこからマルウェアに感染させ、不正アクセスによる情報窃取、システムのデータ改ざん、アカウント権限の乗っ取りなどの被害にあう可能性があります。
エクスプロイトの狙う脆弱性はさまざまですが、特にJavaやMicrosoft Office、Google Chrome、またはそれらのプラグインなど、多くのユーザーが利用するプログラムやソフトウェアを狙う傾向にあります。
近年話題の「ゼロデイ攻撃」も、広い意味ではエクスプロイト攻撃の一種といえるでしょう。
ゼロデイ攻撃とは、まだベンダーが対策や修正を提供していない脆弱性を利用して攻撃を行う手法です。修正プログラムが開発される前の「わずかな期間」を狙う特性から、0-day(ゼロデイ)と呼ばれます。
ゼロデイ攻撃については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
エクスプロイトとマルウェアの違い
マルウェアとは、悪意を持って作成されたプログラムやソフトウェア・コードの総称で、主な種類にウイルス、トロイの木馬、ランサムウェアなどがあります。
エクスプロイトとマルウェアは、PCやソフトウェアを通じてターゲットに被害をもたらすプログラムといった点で類似していますが、細かい内容に違いがあります。
▼エクスプロイトとマルウェアの違い
| エクスプロイト | マルウェア | |
|---|---|---|
| 攻撃方法 | 脆弱性を悪用 | 脆弱性の有無は問わない |
| 増殖 | 自己増殖しない | 自己増殖する場合もある |
| 役割 | 攻撃の足がかりとなる | 直接的な被害をもたらす |
例えば、エクスプロイトはOSやソフトウェアなどの脆弱性を狙うことに特化したプログラム・コードなので、脆弱性の存在を前提に成り立っています。一方、マルウェアは脆弱性の有無に関係なく感染し、被害をもたらす点に違いが見られます。
また、エクスプロイトは基本的に自己増殖の機能を持ちませんが、マルウェアの中にはウイルスやワームのように自己増殖によって感染を拡大するものが存在します。
さらに、データの暗号化やシステムの停止といった直接的な被害をもたらすマルウェアに対し、エクスプロイトはマルウェア攻撃等を仕掛けるための、足がかりとして使用されるケースが一般的です。
例えば、ユーザーをエクスプロイトコードが埋め込まれたWebページへ誘導し、閲覧するとマルウェアがダウンロードされ、不正アクセスや情報窃取が行われるといった具合です。
エクスプロイトを助長させる「エクスプロイトキット」と、その入手経路とは
エクスプロイトキット(Exploit Kit)とは、複数のエクスプロイトコードをパッケージ化したものであり、Webサイトの脆弱性を悪用した「マルウェアの自動配布」を目的として、設計されたツールです。
エクスプロイトキットを悪意のあるWebサイトや広告に仕掛けることで、閲覧・クリックしたユーザーのデバイスにて脆弱性を自動的にスキャンし、発見された脆弱性を利用してマルウェア感染などの攻撃をおこないます。
複雑なプログラミング知識がなくても簡単に攻撃が仕掛けられることから、主にダークウェブで、非合法に取得・売買されているケースが多く見られます。
※ダークウェブ…非常に匿名性が高く、通常の方法ではアクセスできないWebサイト。「盗んだ個人情報」「脆弱性に関する情報」など違法性の高いものが売買されている
さらに近年では、EaaS(Exploit as a Service)というエクスプロイトキットをホスティングし、オンラインで提供するサービスも存在しています。EaaSによって攻撃者は独自サーバーの用意やエクスプロイトを作成する手間なく、サイバー攻撃を簡単に実行することが可能です。
また、攻撃者たちの主なやり取りは「ダークウェブ」が一般的ですが、昨今はメッセージアプリである「Telegram」でやり取りされるケースも出てきています。
Telegramはダークウェブよりも登録や利用が容易で取引の際匿名性が高く、特にプライバシーに重点を置いた利用者からの人気を集めています。合法的に通話やメッセージ通信を二者間で暗号化でき、回線事業者はもちろん第三者はアクセスできないという秘匿性から、注目を集めています。
エクスプロイトの主な感染手口・感染経路
エクスプロイトの主な感染手口、および経路は以下の2つです。
1.メールによる、エクスプロイトへの感染
2.Webサイトによる、エクスプロイトの感染
ここからはそれぞれの感染手口や経路について解説します。
1.メールによる、エクスプロイトへの感染
エクスプロイト感染経路の多くは、スパムメールやフィッシングメールなど、メールによるものです。
具体的には
・メールに添付したファイルにエクスプロイトを仕込み、開封させて感染させる
・メールに記載したURLをクリックさせ、不正なWebサイトに誘導して感染させる
などがあります。
添付ファイルが開かれるとエクスプロイトが起動し、システムに悪意あるプログラムが侵入します。また、URLをクリックした場合は不正なWebサイトに誘導され、そこから悪意あるコードがダウンロード・実行されます。
近年のフィッシングメールなどは文面に怪しい点が少なく、送信元もうまく偽装しているケースが多いので注意が必要です。
フィッシングメールの特徴や見分け方は以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
2.Webサイトによる、エクスプロイトの感染
Webサイトを経由してエクスプロイトに感染する場合もあります。
攻撃者はWebサイトにあらかじめエクスプロイトコードを仕掛けておき、そのサイトを訪れたユーザーのデバイスにコードを送り込みます。
Webサイトを閲覧するだけで気がつかないうちに感染してしまうため、防御が難しいとされています。
さらに、大手企業の公式サイトが改ざんされてエクスプロイトコードが仕込まれている可能性もあるため、怪しいサイトの閲覧を回避するだけでは100%被害を防げないという点も、非常に厄介といえます。
エクスプロイト攻撃への対策
エクスプロイト攻撃には以下の対策が有効です。
1.OSやソフトウェアを最新の状態に保つ
2.不正なWebサイトを開かない・URLをクリックしない
3.高精度なセキュリティソリューションの導入
4.サイトの運用側なら「脆弱性診断」の実施が有効
ここからは、エクスプロイトに有効な4つの対策について解説します。
1.OSやソフトウェアを最新の状態に保つ
エクスプロイトは、開発後のOS・ソフトウェアに潜む「脆弱性」をついて、感染を仕掛ける脅威です。よって基本的な対策として、OSやソフトウェアを常に最新の状態へ保ち、脆弱性を修正するためのパッチを適用することが有効です。
開発側は脆弱性が発見されると都度修正を行い、ユーザーがその修正版にアップデートすることで、サイバー攻撃のリスクを軽減できます。
利用者は更新漏れが発生しないよう、自動アップデート機能を有効にしておくのがおすすめです。
2.不正なWebサイトを開かない・URLをクリックしない
少しでも不審な点があるWebサイトは開かず、身に覚えのないメールに記載されているURLもクリックしないようにしましょう。
先ほども説明しましたが、エクスプロイトの主な感染経路は、Webサイトの訪問やメールに記載されているURLです。
▼偽サイトやメールを見分けるポイント
・日本語に不自然な表記はないか
・URLは正規のものか(企業名のスペルは正しいか、「.co.jp」などドメインは正しいか等)
・SSL化されているか
・メール送信元は不自然でないか
3.高精度なセキュリティソリューションの導入
根本的な対処方法として、セキュリティソリューションの導入も有効です。
具体的には
・端末やサーバーを感染から守る「アンチウイルス」「EDR」
・ネットワークへの不正侵入の検知する「IDS/IPS」
・WEBアプリケーションを保護する「WAF」
・ネットワーク全体を監視する「NDR」「SIEM」
などが挙げられます。
例えば、エクスプロイト攻撃やマルウェア感染の起点となるPCやサーバー機器には、脅威の侵入を検知・ブロックする「アンチウイルス」のようなエンドポイントセキュリティが欠かせません。
また万一、エクスプロイト攻撃を受けてPCにマルウェアが感染した場合、侵入後でも脅威の検知や駆除を行える「EDR」も、併せて導入したいところです。
エムオーテックスでは、AIを活用した業界最高峰のアンチウイルス「LANSCOPE サイバープロテクション」を提供しています。またアンチウイルスとセットで導入可能な、EDR「CylanceOPTICS」もおすすめです。
さらにネットワーク全体の不審な通信を検知し、アラート通知や遮断などの対策が行える「IDS/IPS」「NDR」「SIEM」なども、エクスプロイト攻撃に効果的なソリューションです。
エムオーテックスでは、ネットワーク全体の異常を監視し、AIの自動学習機能にて速やかに検知・遮断するNDR「Darktrace(ダークトレース)」も提供しております。
4.サイトの運用側なら「脆弱性診断」の実施が有効
脆弱性診断とは、システムやネットワークなどを専門家が調査し、脆弱性などのセキュリティホールを洗い出してくれるサービスです。
サイト運営者側が定期的に診断を受けることで、脆弱性を早期発見し、エクスプロイトをはじめサイバー攻撃を未然に防ぐことが可能となります。
LANSCOPE プロフェッショナルサービスでは、お客様のサーバーやネットワーク・アプリケーションの脆弱性を明らかにする「脆弱性診断」を提供しています。経験豊富なエキスパートが、お客様の利用環境に潜む脆弱性・セキュリティリスクを洗い出し、改善方法をご提案することで、効率的な脆弱性対策を実現することが可能です。
エクスプロイト対策ならLANSCOPEサイバープロテクションにお任せ
「LANSCOPE サイバープロテクション」では、エクスプロイト攻撃に起因するマルウェア感染から、皆さまの大切なPCや情報資産を守る、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「CylanceGUARD」
2. 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceGUARD」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。
しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていない企業様も少なくありません。
・ アンチウイルスとEDRを併用したい
・ なるべく安価に両機能を導入したい
・ しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「Cylanceシリーズ」です。
1. 最新のアンチウイルス「CylancePROTECT」
2. EDR「 CylanceOPTICS」
3. EDRを用いた運用監視サービス「CylanceGUARD」
の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
・ PC、スマートフォンなどOSを問わず、対策をしたい
・ 実行ファイル以外の様々なファイルにも、対応できる 製品が良い
・ 手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
ランサムウェアをはじめ、2020年以降に国内でも猛威を振るった「Emotet(エモテット)」などの攻撃も、 Deep Instinctで検知することが可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。
エクスプロイト攻撃を受けたかも……事後対応なら「インシデント対応サービス」にお任せ
「PCがランサムウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで実施します。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
今回は、エクスプロイトとはなにか、感染経路や手口、有効な対策について解説しました。
▼本記事のまとめ
- エクスプロイトとは、ソフトウェアやアプリケーション、OSなどの脆弱性を突いて不正な動作を行うプログラム(エクスプロイトコード)、もしくはそういったプログラムを利用した攻撃(エクスプロイト攻撃)のこと
- 近年話題の「ゼロデイ攻撃」も、広い意味ではエクスプロイト攻撃の一種
- エクスプロイトはマルウェアと異なり、基本的に自己増殖せず、直接的な被害をもたらす機能がない
- エクスプロイトキットは、複数のエクスプロイトコードをパッケージ化したもので、ダークウェブ(匿名性が高いWebサイト)で非合法に取得・やり取りされているケースが多い
- エクスプロイトの主な感染手口および感染経路として「メール」「Webサイト」がある
- エクスプロイト攻撃には「OSやソフトウェアを最新の状態に保つ」「不正なWebサイト・URLを開かない」「セキュリティ製品の導入」「脆弱性診断」といった対策が有効
エクスプロイトは、他のさらなる攻撃を仕掛けられるきっかけとなります。またエクスプロイト攻撃の対策は、その他のサイバー攻撃対策としても有効であるため、日頃からOSアップデートやセキュリティソフトの導入など、基本的なセキュリティ対策をしっかりと行っていきましょう。
またエムオーテックスでは、組織のセキュリティ対策が十分であるか?を簡単に診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ合わせてご活用ください!
関連する記事
