「ゼロデイ脆弱性」、存在に気が付くまでの期間は平均10ヶ月 18
ストーリー by hylom
危険がいっぱい 部門より
危険がいっぱい 部門より
danceman 曰く、
セキュリティベンダーが修正パッチをリリースしていない脆弱性は「ゼロデイ脆弱性」と呼ばれている。しかし、SymantecがAssociation of Computing Machineryで発表した調査報告によれば、脆弱性が悪用されてからベンダーがその脆弱性に気がつくまで、平均して312日もかかっているのだという。「マイナス312デイ脆弱性」の方が名称として相応しいのではないかとのこと(本家/.、Forbes記事)。
同調査ではSymantecのアンチウィルスソフトを使って、1100万台のPCに関するデータを基にゼロデイ攻撃の分析を行ったところ、2008年2月から2010年3月までの間に18件ものゼロデイ攻撃が検出され、そのうちゼロデイ脆弱性として既に認識されていたものはわずか7件だけだったとのこと。しかも、ベンダーが脆弱性の存在を認識するまでに平均して312日かかっていることが分かった。
なかには2年半も気付かれずにいた脆弱性もあり、2010年以降に公表された脆弱性については、1件の例外はあったものの、いずれも発見までに16か月以上かかっていた。つまりこれは、予想以上に沢山のゼロデイ攻撃が行われていることを示しているとのこと。
余計なもの (スコア:2)
予想以上に沢山のゼロデイ攻撃が行われている
予想以上に沢山の冤z
#s/以上/通り/?
Re: (スコア:0, フレームのもと)
言いたい皮肉はわかりますけど、表記が回りくどすぎて気持ち悪いですね。
オープンβテスト (スコア:1)
そこまで言うなら (スコア:1)
OS/2 にしとけ。
クラッカーさんも存在を無視したくなるユーザー数だから。
モデレータは基本役立たずなの気にしてないよ
「悪用されてから気付くまで」って… (スコア:1)
そんなの、エンドユーザーなりからの報告を受けて、再現して初めて気付くものでしょ。
逆に、バレなきゃ年単位で悪用される事だってあるのだから、平均312日が長いとは思わないんですが。
そもそも、ゼロデイ脆弱性の平均といってますが、本家や記事で出されてるチャートの、母数(18件)が少なすぎます。
これで「平均 10ヶ月」と言われても「そうですね」で終わるだけの話です。
また、タレコミにもあるように、「ゼロデイ脆弱性として認識されていたのは 7件」とあるように
未知・未認識の脆弱性について、「悪用されてから気付くまで」の期間を問うて、意味があるのでしょうかね。
Re: (スコア:0)
作りこんだ人は知っています
ええ、知っていますとも
Re: (スコア:0)
バレてないってことは被害者も少なかったんでしょうねぇ
闇に埋もれたゼロデイ攻撃 (スコア:0)
Re: (スコア:0)
まぁ、深刻度まではこの記事はわからんから、クラッシュするだけのものも含んでるのかもね。
Re: (スコア:0)
バグに遭遇すること、それが脆弱性を見つける第一歩です。
Re: (スコア:0)
おっしゃるとおり。
よく the only difference between a bug and a vulnerability is the intelligence of the attacker と言われるとおり、
攻撃に使う人がいなければ単なるバグ、
作者以外が攻撃手法を思いついたらゼロデイ、
攻撃手法が公知になればフツーの脆弱性になるのです。
たとえば単なるDoSや誤表示の類でも、
そのあとユーザが起こすであろうアクションを予想して
そこにトロイの木馬を置けるのであれば、
任意のコードの実行と同じこと。
気付かれずにいた脆弱性……… (スコア:0)
ベンダーが自主的に気づく例って少ないと思うのですが、その辺はどうなんでしょうか?
・脆弱性のレポートは非公式にベンダーに持ち込まれていたが、悪用されていないのでほっかむりしていた。
・悪用されているのでAVベンダーが指摘しているにも関わらず、事例が少ないとほっかむりしていた。
・悪用されているのでAVベンダーが指摘しているにも関わらず、それは仕様ですとほっかむりしていた。
・AVベンダーが後から、ログを精査して「これは………脆弱性だったんだ!」「Ω ΩΩ<な、なんだってぇ?!」だった
※ノートンといえばNISが1ヶ月ほどネット接続していないと警告どころか、機能をOFFにするので困ったことがある(今は修正されているよ)。
※OFF回用の持ち運びマシンだから常用していなくて、出先で機能OFFにされるのは勘弁
人間には永遠に無理でしょう (スコア:0)
コーヒーメーカーの記事からわずか2日しか立っていないのにこのありさまなんですから
Re: (スコア:0)
それはコーヒーメーカーの脆弱性が明らかになってメーカーが対策が取られなかったにも関わらず、「アメリカンコーヒーが飲みたいのにエスプレッソが出てきた」というような被害が顕著にならなかったとか、コーヒーメーカーサーバーに与える指示に対して、別の防御手段を講じていたので、被害を防ぐことがあったとか対策あっての話ではないのかと。
※さっきやったこと。
コーヒーが飲みたい → カップにインスタントコーヒーを入れる → おっと、ポットにお湯がないや → 台所に行く → どうせならお茶でも飲もう → ポットにティーバッグを入れてお湯投入 → 二分経過 → ティーバッグを出して席に戻る。
………インスタントコーヒーが入っている!
2桁以上のゼロディ攻撃が既に確認されているということは, (スコア:0)
未知の脆弱性を発見してそれを攻撃に利用しよう,という目的で動いている人間がそこそこ居て,しかもその目的がそれなりに達成されているということだよね.技術的な側面やら脆弱性の発見確率やらまだ見つかってないウィルスの存在やら考えると,こうした人達のマンパワーの規模は実はそこそこ大きそうだ.
そこに,なんか,知らない世界が広がっている気がする.あんま覗かないほうがよさそうではあるが…
Re: (スコア:0)
つ[Bugハンター]
コツと嗅覚があれば、それなりに見つけられるようですよ。
この本の場合、だいたい見つけ方の基本は一定ですね。
Re: (スコア:0)
ありがとう! これは興味深い.早速アマゾンだ.
…しかし,ずっぽりはまった先は少し暗い世界だったりするような気がする(^^;;;
iesys.exe事件を見れば (スコア:0)
アンチウイルスベンダーの対応も、クラウドで検知されてから1ヶ月、
さらにマスコミに大々的に報道されてからパターンファイルで対応するまで1週間掛かっています。
なので、驚くには値しないことです。
アンチウイルスを過信しないことが重要。