パスワードを忘れた? アカウント作成
6487842 story
セキュリティ

「ゼロデイ脆弱性」、存在に気が付くまでの期間は平均10ヶ月 18

ストーリー by hylom
危険がいっぱい 部門より
danceman 曰く、

セキュリティベンダーが修正パッチをリリースしていない脆弱性は「ゼロデイ脆弱性」と呼ばれている。しかし、SymantecがAssociation of Computing Machineryで発表した調査報告によれば、脆弱性が悪用されてからベンダーがその脆弱性に気がつくまで、平均して312日もかかっているのだという。「マイナス312デイ脆弱性」の方が名称として相応しいのではないかとのこと(本家/.Forbes記事)。

同調査ではSymantecのアンチウィルスソフトを使って、1100万台のPCに関するデータを基にゼロデイ攻撃の分析を行ったところ、2008年2月から2010年3月までの間に18件ものゼロデイ攻撃が検出され、そのうちゼロデイ脆弱性として既に認識されていたものはわずか7件だけだったとのこと。しかも、ベンダーが脆弱性の存在を認識するまでに平均して312日かかっていることが分かった。

なかには2年半も気付かれずにいた脆弱性もあり、2010年以降に公表された脆弱性については、1件の例外はあったものの、いずれも発見までに16か月以上かかっていた。つまりこれは、予想以上に沢山のゼロデイ攻撃が行われていることを示しているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 予想以上に沢山のゼロデイ攻撃が行われている

    予想以上に沢山の冤z

    #s/以上/通り/?

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      言いたい皮肉はわかりますけど、表記が回りくどすぎて気持ち悪いですね。

  • by s02222 (20350) on 2012年10月19日 14時19分 (#2254594)
    新規に発表されたソフトや、セキュリティパッチ以外のアップデートを入れるのは、使われ出して300日かあるいはもっと待ってからでないと導入しちゃ駄目、と。
  • by Anonymous Coward on 2012年10月19日 15時28分 (#2254654)

    そんなの、エンドユーザーなりからの報告を受けて、再現して初めて気付くものでしょ。
    逆に、バレなきゃ年単位で悪用される事だってあるのだから、平均312日が長いとは思わないんですが。

    そもそも、ゼロデイ脆弱性の平均といってますが、本家や記事で出されてるチャートの、母数(18件)が少なすぎます。
    これで「平均 10ヶ月」と言われても「そうですね」で終わるだけの話です。

    また、タレコミにもあるように、「ゼロデイ脆弱性として認識されていたのは 7件」とあるように
    未知・未認識の脆弱性について、「悪用されてから気付くまで」の期間を問うて、意味があるのでしょうかね。

    • by Anonymous Coward

      作りこんだ人は知っています

      ええ、知っていますとも

    • by Anonymous Coward

      バレてないってことは被害者も少なかったんでしょうねぇ

  • by Anonymous Coward on 2012年10月19日 13時52分 (#2254563)
    攻撃だと思われないで、「また、バグかよぅ。」で済まされた事例もあると思われ。
    • by Anonymous Coward

      まぁ、深刻度まではこの記事はわからんから、クラッシュするだけのものも含んでるのかもね。

    • by Anonymous Coward

      バグに遭遇すること、それが脆弱性を見つける第一歩です。

      • by Anonymous Coward

        おっしゃるとおり。
        よく the only difference between a bug and a vulnerability is the intelligence of the attacker と言われるとおり、
        攻撃に使う人がいなければ単なるバグ、
        作者以外が攻撃手法を思いついたらゼロデイ、
        攻撃手法が公知になればフツーの脆弱性になるのです。

        たとえば単なるDoSや誤表示の類でも、
        そのあとユーザが起こすであろうアクションを予想して
        そこにトロイの木馬を置けるのであれば、
        任意のコードの実行と同じこと。

  • by Anonymous Coward on 2012年10月19日 15時46分 (#2254673)

    ベンダーが自主的に気づく例って少ないと思うのですが、その辺はどうなんでしょうか?

    ・脆弱性のレポートは非公式にベンダーに持ち込まれていたが、悪用されていないのでほっかむりしていた。
    ・悪用されているのでAVベンダーが指摘しているにも関わらず、事例が少ないとほっかむりしていた。
    ・悪用されているのでAVベンダーが指摘しているにも関わらず、それは仕様ですとほっかむりしていた。
    ・AVベンダーが後から、ログを精査して「これは………脆弱性だったんだ!」「Ω ΩΩ<な、なんだってぇ?!」だった

    ※ノートンといえばNISが1ヶ月ほどネット接続していないと警告どころか、機能をOFFにするので困ったことがある(今は修正されているよ)。
    ※OFF回用の持ち運びマシンだから常用していなくて、出先で機能OFFにされるのは勘弁

  • by Anonymous Coward on 2012年10月19日 16時43分 (#2254758)

    コーヒーメーカーの記事からわずか2日しか立っていないのにこのありさまなんですから

    • by Anonymous Coward

      それはコーヒーメーカーの脆弱性が明らかになってメーカーが対策が取られなかったにも関わらず、「アメリカンコーヒーが飲みたいのにエスプレッソが出てきた」というような被害が顕著にならなかったとか、コーヒーメーカーサーバーに与える指示に対して、別の防御手段を講じていたので、被害を防ぐことがあったとか対策あっての話ではないのかと。

      ※さっきやったこと。
      コーヒーが飲みたい → カップにインスタントコーヒーを入れる → おっと、ポットにお湯がないや → 台所に行く → どうせならお茶でも飲もう → ポットにティーバッグを入れてお湯投入 → 二分経過 → ティーバッグを出して席に戻る。
      ………インスタントコーヒーが入っている!

  • 未知の脆弱性を発見してそれを攻撃に利用しよう,という目的で動いている人間がそこそこ居て,しかもその目的がそれなりに達成されているということだよね.技術的な側面やら脆弱性の発見確率やらまだ見つかってないウィルスの存在やら考えると,こうした人達のマンパワーの規模は実はそこそこ大きそうだ.

    そこに,なんか,知らない世界が広がっている気がする.あんま覗かないほうがよさそうではあるが…

    • by Anonymous Coward

      つ[Bugハンター]

      コツと嗅覚があれば、それなりに見つけられるようですよ。
      この本の場合、だいたい見つけ方の基本は一定ですね。

      • by Anonymous Coward

        ありがとう! これは興味深い.早速アマゾンだ.

        …しかし,ずっぽりはまった先は少し暗い世界だったりするような気がする(^^;;;

  • by Anonymous Coward on 2012年10月19日 22時45分 (#2255072)

    アンチウイルスベンダーの対応も、クラウドで検知されてから1ヶ月、
    さらにマスコミに大々的に報道されてからパターンファイルで対応するまで1週間掛かっています。

    なので、驚くには値しないことです。

    アンチウイルスを過信しないことが重要。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...