未知の脆弱性との戦い：ゼロデイ攻撃の脅威

ゼロデイ攻撃は、まだ誰も知らない、修正パッチが存在しない脆弱性を突く攻撃です。「ゼロデイ」という名前は、脆弱性が発見されてから修正されるまでの日数が「ゼロ日」、つまり修正する時間がないことを意味します。
この攻撃が恐ろしいのは、従来のセキュリティ対策では防げないことです。最新のセキュリティパッチを適用していても、ウイルス対策ソフトを使っていても、未知の脆弱性に対しては無力です。例えるなら、まだ発明されていない鍵を開ける方法を知っている泥棒のようなものです。
ゼロデイ脆弱性の発見には、高度な技術と膨大な時間が必要なため、主に国家レベルの攻撃者や、資金力のある犯罪組織が使用します。これらの脆弱性は、闇市場で数十万ドルから数百万ドルで取引されることもあります。
実際の攻撃では、ゼロデイ脆弱性は慎重に使用されます。一度使用すると、セキュリティ研究者に発見され、修正される可能性があるからです。そのため、高価値な標的に対してのみ、必要最小限の範囲で使用されることが多いのです。
2010年に発見されたStuxnetワームは、複数のゼロデイ脆弱性を使用した史上最も高度なマルウェアの一つでした。イランの核施設を標的とし、物理的な機器を破壊することに成功しました。この事例は、ゼロデイ攻撃が国家インフラにも深刻な被害をもたらす可能性を示しています。

システム内部での勢力拡大：権限昇格と横展開

攻撃者が最初にシステムに侵入した時点では、限定的な権限しか持っていないことがほとんどです。しかし、そこから権限昇格／横展開のテクニックを使って、より高い権限を獲得し、ネットワーク内の他のシステムに侵入範囲を広げていきます。権限昇格は、一般ユーザーの権限から管理者権限へと、より高い権限を獲得する技術です。例えば、受付の従業員のパソコンに侵入した攻撃者が、そこからIT管理者の権限を奪い、最終的に会社全体のシステムを掌握するようなケースです。これは、建物の1階の窓から侵入した泥棒が、エレベーターの鍵を見つけて最上階の金庫室にたどり着くようなものです。攻撃者は、システムの設定ミスや古いソフトウェアの脆弱性を探します。例えば、古いバージョンのWindowsには、通常のプログラムを管理者権限で実行できてしまう脆弱性が存在しました。また、パスワードが平文で設定ファイルに保存されていたり、不適切なファイル権限が設定されていたりすることもあります。横展開（ラテラルムーブメント）は、同じネットワーク内の他のコンピューターへと侵入を広げていく技術です。一台のパソコンから始まり、ファイルサーバー、データベースサーバー、そして最終的に機密情報が保存されているシステムへとたどり着きます。この過程で、攻撃者は正規のネットワーク管理ツールを悪用することがあります。リモートデスクトップ、PowerShell、Windows Management Instrumentation（WMI）など、IT管理者が日常的に使うツールが、攻撃者の手に渡ると強力な武器になるのです。正規のツールが凶器に変わる時：Living off the Land正規ツール悪用（Living off the Land）は、システムに最初から入っている正規のプログラムやツールを使って攻撃を行う手法です。新たなマルウェアをインストールする必要がないため、セキュリティソフトに検知されにくいという特徴があります。
例えば、Windowsに標準搭載されているPowerShellは、本来はシステム管理を効率化するための強力なツールですが、攻撃者の手に渡ると、ファイルのダウンロード、実行、データの窃取、他のコンピューターへの侵入など、あらゆる悪意ある行動に使用できます。
他にも、次のような正規ツールが攻撃に悪用されます：

・コマンドプロンプト（cmd.exe）：基本的なシステム操作
・タスクスケジューラー：マルウェアの定期実行
・レジストリエディタ：システム設定の改変
・certutil：ファイルのダウンロード
・bitsadmin：バックグラウンドでのファイル転送

この手法が巧妙なのは、これらのツールの使用自体は正常な業務でも行われるため、悪意ある使用と正常な使用を区別することが困難な点です。まるで、包丁が料理にも犯罪にも使えるように、同じツールが善にも悪にも使われるのです。企業のIT部門は、このジレンマに直面しています。PowerShellを完全に無効化すれば攻撃を防げますが、同時に正常な管理作業もできなくなってしまいます。そのため、使用パターンの監視や、実行できるコマンドの制限など、きめ細かい対策が必要になります。

パスワードハンティング：認証情報を狙う様々な手法

認証情報の窃取は、攻撃者にとって最も価値のある活動の一つです。正規のユーザー名とパスワードがあれば、不正アクセスの痕跡を残さずにシステムを自由に操作できるからです。攻撃者は様々な方法でパスワードを収集します。最も単純な方法は、付箋やメモ帳に書かれたパスワードを探すことです。驚くべきことに、多くのオフィスでは、モニターの端や机の引き出しにパスワードが書かれた紙が貼られています。より技術的な方法として、メモリダンプがあります。コンピューターのメモリ（RAM）には、実行中のプログラムが使用するデータが一時的に保存されており、その中にはパスワードも含まれています。特定のツールを使えば、このメモリからパスワードを抽出できます。Windowsの認証システムの仕組みを悪用する方法もあります。例えば、NTLM（Windows の認証プロトコル）のハッシュ値を盗み出し、それを使って他のシステムにログインする「Pass the Hash」攻撃があります。パスワードそのものを知らなくても、このハッシュ値があればログインできてしまうのです。ブラウザに保存されたパスワードも狙われます。多くの人が便利さのためにブラウザにパスワードを保存していますが、これらは特定のツールで簡単に抽出できます。一度抽出されれば、銀行、メール、SNS、すべてのアカウントが危険にさらされます。キーロガーによる収集も依然として有効です。キーボードの入力をすべて記録し、その中からパスワードを抽出します。最近のキーロガーは、スクリーンショットも定期的に撮影し、仮想キーボードで入力されたパスワードも盗み出すことができます。

見えない司令塔との通信：C2通信の隠蔽技術

C2ビーコン隠ぺいは、感染したコンピューターと攻撃者の司令サーバー（Command and Control Server）との通信を隠す技術です。この通信が発見されると攻撃が露呈するため、攻撃者は様々な方法で通信を偽装します。最も一般的な方法は、正常なWeb通信に偽装することです。企業のファイアウォールは通常、Webブラウジング（HTTPSトラフィック）を許可しているため、C2通信もHTTPSで行えば検知されにくくなります。定期的にニュースサイトにアクセスしているように見えて、実は攻撃者からの指令を受け取っているということがあります。DNSトンネリングという手法もあります。DNSは、ドメイン名をIPアドレスに変換するための基本的なインターネットの仕組みですが、このDNSクエリの中にデータを隠して通信を行います。DNSは必ず許可されているため、この方法は非常に検知が困難です。ソーシャルメディアやクラウドストレージを使う方法も増えています。TwitterやFacebookの投稿、Google DriveやDropboxのファイルを通じて指令を送受信します。これらのサービスへのアクセスは通常業務でも行われるため、不審に思われにくいのです。通信の頻度やパターンも工夫されています。定期的ではなくランダムな間隔で通信したり、業務時間内のみ通信したり、大量のデータ送信を避けて少しずつ送信したりすることで、異常なトラフィックとして検知されることを避けます。

盗んだデータの密輸：巧妙な情報持ち出しの手口

データ持ち出し（Exfiltration）は、攻撃の最終段階で、収集した情報を外部に送信する行為です。大量のデータを一度に送信すると検知されやすいため、攻撃者は様々な工夫を凝らします。データの分割送信は基本的な手法です。1GBのデータを一度に送るのではなく、1MBずつ1000回に分けて送信します。それぞれは通常のファイル転送と区別がつかないため、検知が困難になります。データの偽装も行われます。機密文書を画像ファイルに偽装したり、音楽ファイルの中に埋め込んだり（ステガノグラフィー）、暗号化して意味不明なデータに見せかけたりします。セキュリティシステムが「ただの写真」と判断すれば、チェックを通過できます。正規のクラウドサービスを使った持ち出しも増えています。企業が使用を許可しているOneDriveやGoogle Driveにデータをアップロードし、外部からアクセスします。正規のサービスを使っているため、通常の業務と区別することが困難です。物理的な持ち出しも忘れてはいけません。USBメモリ、外付けハードディスク、さらにはスマートフォンのカメラで画面を撮影するという原始的な方法も使われます。技術的な対策をすべて回避できる、最もシンプルで効果的な方法の一つです。メールを使った持ち出しも一般的です。小分けにしたデータを、個人のメールアドレスに少しずつ送信します。「参考資料」「自宅作業用」といった件名で送られるため、正当な業務に見えることがあります。

システムに根を張る：永続化のテクニック

常駐化・足場確保は、一度侵入したシステムに留まり続けるための技術です。コンピューターが再起動されても、セキュリティソフトが更新されても、攻撃者のアクセスを維持することが目的です。最も基本的な方法は、自動起動の設定です。Windowsのスタートアップフォルダ、レジストリの自動実行キー、サービスとしての登録、タスクスケジューラーへの登録など、様々な場所にマルウェアを仕込みます。複数の場所に仕込むことで、一つが削除されても他で生き残れるようにします。ファイルレスマルウェアという手法も使われます。ハードディスクにファイルを保存せず、メモリ上でのみ動作するマルウェアです。ファイルが存在しないため、通常のウイルススキャンでは検出できません。ただし、再起動すると消えてしまうため、他の永続化手法と組み合わせて使用されます。正規のソフトウェアの改ざんも行われます。よく使われるプログラム（ブラウザ、オフィスソフトなど）に寄生するように、悪意のあるコードを埋め込みます。正規のプログラムの一部として動作するため、検知が困難です。バックドアの設置は、再侵入を容易にするための方法です。新しいユーザーアカウントを作成したり、リモートアクセスツールをインストールしたり、ファイアウォールに穴を開けたりします。表の玄関は施錠されていても、裏口が開いていれば簡単に入れるというわけです。ファームウェアレベルの感染は、最も除去が困難な永続化手法です。コンピューターの基本的な動作を制御するファームウェア（BIOS/UEFI）にマルウェアを埋め込みます。OSを再インストールしても、ハードディスクを交換しても、マルウェアは残り続けます。