ゼロクリック攻撃とは？その仕組みと対応方法について

危険なリンクをクリックしたり、不審なファイルを開いたり、信頼できないソースからプログラムをインストールしたりしなければ、マルウェアに感染する心配はないと考える人が多くいます。残念ながら、これは間違った認識です。ゼロクリック・エクスプロイトは、標的となるユーザーの行動を一切必要としない攻撃です。

ゼロクリック・エクスプロイトを作成するには、高度な専門知識と多大なリソースの両方が必要です。そのため、ゼロクリック攻撃が成功するために必要な脆弱性は、控えめに言っても簡単には発見することはできません。そのようなセキュリティ問題に関する情報は、闇市場で数百万ドルとは言わないまでも、数十万ドルの値がつくこともあります。

しかし、ゼロクリック攻撃は稀ではありません。ゼロクリック・エクスプロイトを作成するのに適したタイプを含む脆弱性に関する情報は、リサーチャーがネット上で公開します。時には概念実証コード（PoC）とともに公開することもあります。つまり、情報技術のニュースに詳しいサイバー犯罪者なら誰でも、こういった脆弱性に関する技術的な情報を悪用できるということを意味します。ソフトウェア開発者は早急にこのような脆弱性を修正しようと対応を試みますが、ユーザー側が速やかにアップデートをインストールするとは限りません。

また、IoTデバイスやサーバー、ネットワークアタッチドストレージ（NAS）などの接続システムの脆弱性も忘れてはなりません。これらの機器はすべて、人の目が届かないところでも動作します。そのため、これらを攻撃するために設計されたエクスプロイトは、ユーザーのアクションに依存しません。いずれにせよ、少なくともゼロクリック攻撃について知っておく必要があります。

ゼロクリック攻撃の例

ゼロクリック攻撃の実例を紹介しながら、実際にどのように機能するのか、またこれらのエクスプロイトの作成者が目的を達成するためにどのような方法を用いているのかを見てみましょう。

攻撃活動「Operation Triangulation」

少し前、当社の従業員を標的とした極めて複雑なゼロクリック攻撃を発見しました。発見後、私たちはこのスパイ活動を「Operation Triangulation（オペレーション・トライアンギュレーション）」と名付けました。この攻撃の対象者は、Apple製品のiMessageサービスを経由してゼロクリック・エクスプロイトを含んだファイルを添付したメッセージを受信します。このメッセージは、特権昇格のコード実行につながる脆弱性を引き起こし、マルウェアに感染したデバイスを完全にコントロールできるようにします。

この攻撃は、できる限り目立たないように実行されていましたが、セキュリティ情報とイベント管理のためのネイティブなSIEMソリューション、Kaspersky Unified Monitoring and Analysis Platform（KUMA）によって感染が確認されました。

もちろん、Appleはすぐにこの脆弱性に対するパッチをリリースしましたが、このように攻撃者が秘密裡にiPhoneを感染させることができるiMessageのバグが悪用されたのは今回が初めてではありません。今後、攻撃者たちが何か別の方法を見つけてそれを（大規模）攻撃に使用する可能性もあります。

スパイウェア「Predator」とSafariのゼロクリック脆弱性

アップルは最近、iOS、macOS、その他のソフトウェア製品向けに重要なアップデートをリリースし、深刻な脆弱性を修正しました。これらの脆弱性は、AppleのSafariブラウザで使用されているブラウザエンジン、WebKitに関するもので、スパイウェアPredatorをインストールさせようとするゼロクリック攻撃で悪用されていました。

攻撃者はまず、被害者が暗号化されていない（つまりHTTPSではなくHTTP）特定のWebサイトにアクセスした際、被害者を感染したWebサイトにリダイレクトすることで、中間者（MITM）攻撃を実行しました。その後、前述のSafariブラウザーの脆弱性が悪用され、攻撃者は被害者が何もしなくてもiPhone上で任意のコードを実行できるようになりました。その後、犯人はさらなる脆弱性を利用して、感染したiPhoneにスパイウェアをインストールしました。

リサーチャーはまた、スパイウェアPredatorの作成者が、Androidスマートフォンを感染させるために使用した同様のエクスプロイトチェーンを発見しました。この場合、ゼロクリック攻撃はChromeブラウザで実行されました。

さらに今年に入り、AppleのSafariとGoogle Chromeの両方におけるこの種の脆弱性を報告した。これらの脆弱性はすべて、悪意のあるWebページを作成するのに使われました。そのページを閲覧したユーザーは、一度もクリックしたりファイルを開いたりせずとも、デバイスがマルウェアに感染しました。

ゼロクリック攻撃から身を守る方法

ゼロクリックの主な危険性は、その作成者が被害者の積極的な行動を全く必要としないという事実にあるため、通常のオンライン衛生の原則はここではあまり役に立たない。しかし、デバイスを保護するためにできることはまだいくつかある：

• ソフトウェアを常に最新の状態に保ちましょう。特にオペレーティングシステムと、それにインストールされているすべてのブラウザに関するアップデートは重要です。
• 高度な商用スパイウェア（NSO Pegasusなど）を使用した攻撃を懸念する場合は、防御する方法に関する記事をご覧ください。
• iPhoneユーザーの場合は、ロックダウンモードを使うのがよいでしょう。このモードは、高度な攻撃から部分的に保護するのに役立ちますが、決して万能ではありません。
• 業務用のデバイスには、信頼できる保護ソリューションを導入しましょう。これは、新しい脆弱性がすでに悪用されているにもかかわらず、対応するパッチがまだリリースされていない期間のセキュリティ対策となります。
• Kaspersky Endpoint Security for Businessを導入すれば、少なくとも危険なWebサイトをブロックするアプリケーションが含まれており、ブラウザで脆弱性が悪用されるリスクが低くなります。