エフセキュアのアンチウイルスソフト「エフセキュアインターネットセキュリティ2010」に搭載されている新機能「脆弱性シールド」が、Auroraによる攻撃を事前にブロックしていた。これは、実際に脆弱性が発見され、修正パッチが適用される前の攻撃を防ぐことができたものである。

まずは、Auroraについて説明しよう。Auroraは、MicrosoftのInternet Explorerの脆弱性を突いたゼロデイアタックである。具体的には、Googleの中国向けサイトなどが、狙われたものである。もちろん、Google以外への攻撃も確認されており、今回の攻撃に関しては、非常に綿密に練られたものと推察される。今回の脆弱性であるが、CVE 2010-0249として知られているInternet Explorerの脆弱性を悪用し、遠隔から感染したクライアントPCをリモート操作するものだ。マイクロソフトからのアップデートが行われる前に、その脆弱性を突き、悪意のある不正プログラムを使って攻撃が行われた。

OS、アプリケーションでは、新しい脆弱性が発見されると、すぐさまベンダーより修正パッチ、アップデートプログラムが公開される。セキュリティ的な脆弱性を解消することが目的であり、最善の方法ともいえる。だが、悪意を持った攻撃者グラは、これらの対応の隙間を狙い、攻撃を仕掛けてくるのである。セキュリティ対策ソフトの基本は、パターンファイルにあるウイルスや不正なプロムを検知することで対応する。つまり、既知のウイルスや不正プログラムしか防ぐことができない。その隙間を狙ったゼロデイアタックには、これまでの手法では無力ともいえる。

その弱点を補完したものが、エフセキュアの脆弱性シールドである。OSやアプリケーションでは、自動的にアップデートが行われ、脆弱性の解消される。しかし、Webブラウザでは、プラグインなどの自動更新は行われず、ユーザの手でアップデートを行う必要がある。そこで、脆弱性が放置される危険性がある。今回の事例では、Webブラウザの脆弱性に対し、脆弱性シールドが見事にその機能を発揮したものともいえるだろう。

最近では、悪意を持った攻撃の巧妙化が進んでいる。もはや、人間の注意力だけでは防ぐことは不可能に近い。さらに、ゼロディアタックのように、セキュリティ対策ソフトの隙を狙う攻撃もある。ユーザレベルでは、より一層のセキュリティ対策が必要となるであろう。なお、関連情報として、以下も参照してほしい。

• エフセキュアの「脆弱性シールド」が「Aurora」エクスプロイトをブロック
• エフセキュアインターネットセキュリティ2010について

エフセキュアブログ