FortiGuard Labs 脅威リサーチ
MeltdownとSpectreに関する最新情報
主要チップメーカー3社が1月初めに、何百万ものデバイスに搭載されているプロセッサーに影響する、MeltdownとSpectreと呼ばれる脆弱性(CVE-2017-5715、CVE-2017-5753、およびCVE-2017-5754)を発表しました。
FortiGuard Labsは約1年間にわたって、既知の脆弱性を悪用した新たな攻撃を計画する犯罪者の活動を追跡調査し、その詳細を2017年第2四半期版 フォーティネット脅威レポートでご紹介しましたが、90%もの組織で発見から3年以上経過している脆弱性のエクスプロイトが見つかり、60%の企業で発見から10年以上も経過している脆弱性に関連する攻撃が発見されていることがわかりました。
サイバー犯罪者たちが既知の脆弱性を標的とする割合は確実に増加しており、WannaCryとNotPetyaの脆弱性によって、我々は、脆弱性の存在するシステムへの早期のパッチ適用の重要性を再認識することになりました。だからこそ、Intel、AMD、ARMという主要チップメーカーが1995年以降に開発したほぼすべてのプロセッサーに影響するとされる、過去最大規模の脆弱性が明らかになったことで、我々の懸念が再び高まることになったのです。
この状況を深刻に受け止めているのは、我々だけではありません。1月7日から1月22日の間にAV-TESTの研究チームによって、これらの脆弱性に関連する119の新たなサンプルが発見されたことで、サイバーセキュリティコミュニティ全体がこの件に大いに注目するようになりました。公開された全サンプル(これは、収集されたすべてのサンプルの約83%にあたります)をFortiGuard Labsが分析したところ、すべてが概念実証コードに基づくものであることがわかりました。残りの17%は、秘密保持契約または詳細は明らかにされていない何らかの理由によって一般公開されなかったものと考えられます。
MeltdownとSpectreを標的とするマルウェアの検知数の爆発的な増加を示すAV-TESTグラフ
MeltdownとSpectreという脆弱性の対策における最大の課題として、影響を受けるチップが一般家庭や稼働中の環境で動作している何百万ものデバイスに既に埋め込まれていること以外にも、この問題によって明らかになったサイドチャネルの問題を解決するパッチの開発が極めて複雑である点が挙げられます。それを示すかのように、Intelが先日の発表で最新パッチの適用を中止するよう呼びかけましたが、これは、パッチが適用された一部のデバイスが再起動することがわかったためです。
このような現状を考慮すると、パッチによって解決するという、積極的かつプロアクティブな手順の確立だけでなく、不正行動やマルウェアを検知して脆弱性が存在するシステムを保護するよう設計されたセキュリティレイヤーの導入が不可欠であるのは明らかです。
MeltdownとSpectreに対応するフォーティネットのアンチウイルスシグネチャ
FortiGuard Labsチームは、これらの脆弱性を標的とするあらゆる攻撃からお客様を保護するための取り組みを積極的に進めています。以下のアンチウイルスシグネチャをすでに公開しており、これらによって、これまでに発見されたすべてのMeltdownとSpectreのサンプルに対応します。フォーティネットは今後もこの状況を注意深く監視し、最新情報を継続して提供していく予定です。
Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC
Fortinet FortiGuard Labによる本件に関するその他の調査:
