1 Copyright © 2015, FireEye, Inc. All rights reserved.

今求められるセキュリティレヘルと FireEye適応型防御

- 侵害診断サービス(Compromise Assessment)の薦め -

ファイア・アイ株式会社

システムズ・エンジニア・シニアマネージャー 小澤 嘉尚

2 Copyright © 2015, FireEye, Inc. All rights reserved.

サイバー攻撃は誰がする？

3 Copyright © 2015, FireEye, Inc. All rights reserved.

攻撃側の状況変化

ハッカーやギーク

企業・組織

一昔前

• 技術力の誇示 • 目先の利益の獲得

企業・組織

攻撃者の群れやコミュニティ

現在

見えない攻撃組織

• 高度な攻撃 • 目的達成まで執拗に攻撃

• サイバー攻撃の陽動・支援

4 Copyright © 2015, FireEye, Inc. All rights reserved.

ウイルスと異なり 人間が攻撃を行う

標的に合わせて攻撃方法を

きめ細かく調整

特定の標的に狙いを定める

「何が」ではなく 「誰が」

攻撃者は明確な目的を持つ

痕跡を消去して持続的な攻撃を行う

システムに持続してとどまるツールを活用し隠密にア

クセスを維持する

一度撃退しても 再びやってくる

攻撃者は「プロ」、 組織化され資金も潤沢

国家が主導または資金提供 しているケースも

必要に応じてより高度な攻撃戦術に切り替える

標的を執拗に狙う

今は数も資金も潤沢な情報搾取のプロ集団

5 Copyright © 2015, FireEye, Inc. All rights reserved.

サイバー攻撃の手口は？

6 Copyright © 2015, FireEye, Inc. All rights reserved.

アドバンスド・マルウェアの感染ライフサイクル - APT (Advanced Persistent Thread)攻撃 -

デスクトップ アンチ・ウィルス搭載 最新セキュリティパッチなどの対応済

ファイヤーウォールなどの境界セキュリティ

その他 セキュリティゲートウェイ機器

システムを感染させる

一般的なブラウジングの中でのドライブダウンロード攻撃への遭遇

標的型メールによるリンクへの誘導 標的型メールによる添付ファイル

ドロッパーマルウェアのインストール リモート制御への最初のステップ 悪意のサーバーへのコールバック クラックされたサイトやWeb2.0、ユーザーで立てたサイトなどを悪用

悪質なデータ搾取と長期的なリモートコントロールの継続確立

キーロガー、トロイの木馬などによるデータ搾取

一つの攻撃が同一システム内で多数の感染を引き起こす（攻撃の横展開）

犯罪者はシステム内に長期的にリモートコントロール可能な仕組みを持つ

3

2

1

DMZ

Eメール サーバー

アンチスパム ゲートウェイなど

通常公開サイト 但し、クラックさ れている、脆弱 性があるサイト

C＆C サーバー 悪意のサイト、もしくは

クラックされたサイト

7 Copyright © 2015, FireEye, Inc. All rights reserved.

サイバー攻撃の傾向

• Web, Emailから始まる攻撃が90%以上（入口対策）

• Web経由でバックドアを作成して漏洩を実施（出口対策） 出典: “Data Breach Investigations Report” Verizon, 2015

Web経由コールバック ほぼ100％

FireEye調べ

直接インストール

Webドライブバイダウンロード

Eメール添付ファイル

Eメールボディ上のリンク

Webダウンロード

リモートインジェクション

その他ネットワーク経由

マルウェアによるダウンロード

8 Copyright © 2015, FireEye, Inc. All rights reserved.

本日のアジェンダ

• サイバー攻撃の検知、防御 FireEye NX/EXシリーズの紹介

• システム侵害の調査、対応

コンプロマイズ・アセスメントの薦め

9 Copyright © 2015, FireEye, Inc. All rights reserved.

標的型攻撃（APT攻撃）のライフサイクル

Mandiant APT1レポート

P27 “APT1 Attack Lifecycle”より スピアフィッシングや水飲み場攻撃による初期侵入とマルウェアによる足場確立

窃取済み認証情報や新たなマルウェアによる持続性確保

情報収集 足場確立 権限昇格 初期侵入 目的達成

持続性 確保

内部偵察

水平展開

標準コマンドやツールによる内部偵察と水平展開

パスワード窃取等による権限昇格

攻撃の前期段階

攻撃の後期段階

FireEye NX, EXシリーズでAPT攻撃をアドバンスに検知、防御して、お客様システムの安全なシステム運用を提供

FireEyeのコンプロマイズ・アセスメントによる、侵害の有無、発見された問題のサマリ、アクションプランの提供

10 Copyright © 2015, FireEye, Inc. All rights reserved.

サイバー攻撃の検知、防御 • FireEye NX/EXシリーズの紹介

11 Copyright © 2015, FireEye, Inc. All rights reserved.

標的型攻撃（APT攻撃）のライフサイクル – [前期段階]

Mandiant APT1レポート

P27 “APT1 Attack Lifecycle”より スピアフィッシングや水飲み場攻撃による初期侵入とマルウェアによる足場確立

窃取済み認証情報や新たなマルウェアによる持続性確保

情報収集 足場確立 権限昇格 初期侵入 目的達成

持続性 確保

内部偵察

水平展開

標準コマンドやツールによる内部偵察と水平展開

パスワード窃取等による権限昇格

攻撃の前期段階

12 Copyright © 2015, FireEye, Inc. All rights reserved.

予防型セキュリティ対策を容易にすり抜ける攻撃と実情

出典： Mandiant M-Trends 2013

典型的な 脅威

ワーム/ ボット

APT（Advanced Persistent Threat）

高度な標的型攻撃

100% 侵害を受けたシステムの中で、最新のウイルス・シグネチャを適用していたシス

テムの割合

67% 外部から指摘を受けて初めて、セキュリティ侵害の事実を認識した組織の割合

46% 侵害を受けたシステムの中で、マルウェアが存在していなかったシ

ステムの割合

100% セキュリティ侵害事例の中で、正規の認証情報が使用されていた事例の割合

13 Copyright © 2015, FireEye, Inc. All rights reserved.

未知の攻撃を検知するには新しい仕組みが必要

• シグネチャーベース

• リアクティブ

• 既知の脅威のみ

パターンマッチの 検知モデル

101011010101101000101110001101010101011001101111100101011001001001001000 100100111001010101010110 110100101101011010101000

MATCH

100100111001010101010110

一致

100100111001010101010110

仮想実行エンジンによる FireEyeの検知モデル

• シグネチャレス

• ダイナミック・リアルタイム

• 未知の脅威検出

今まで見つける事が出来なかった未知の攻撃を検知

MVX Engine (Multi-Vector Virtual Execution Engine)

14 Copyright © 2015, FireEye, Inc. All rights reserved.

3

4 2

1

攻撃者の行動分析と攻撃の発見（銀行強盗例）

銀行の外を歩き回って出入り口をチェック

銀行に入る （侵入）

変装して密かに作業

監視カメラを回避/無効化

金庫を開く

5 現金を取出す

6 現金を持って銀行から脱出

7 逃走

8

15 Copyright © 2015, FireEye, Inc. All rights reserved.

1 2 3 4

5

インストール完了 実行ファイル起動

6 7

バイナリ実行

プロセス操作 情報搾取・隠蔽 コールバック

ダウンロード・ コードインジェクション

攻撃者の行動分析と攻撃の発見（マルウェア例）

不正コード実行防止機能 回避

ヒープスプレー （エクスプロイト）

暗号化

排他制御 (Mutex)

ファイル作成・変更 デバッガ

仮想環境認識 スリープ

レジストリ変更 ブラウザ設定変更

アカウント・パスワード窃盗 ブラウザ履歴奪取 ファイル消去

タイムスタンプ変更

DNSクエリ

ヒープスプレーアタックを仕掛ける

ルートキットの動作が確認された

レジストリを書き換えた

仮想環境を確認する動作があった

外部への通信動作が確認された

EXE, DLLなどのファイルの起動をした

ファイルを削除した、書き換えた、新たに作成した

16 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEye NX & EXシリーズ • MVXエンジン概要

17 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEye NX/EXシリーズ

NX シリーズ EX シリーズ • インラインで攻撃をブロックまたはSPAN/TAPで攻撃をモニタリング

• Webページ、Flash、PDF、Officeドキュメント、実行ファイルといったすべてのWebオブジェクトを解析

• シグネチャレスでリアルタイムにマルウェアを検知

• 検出したマルウエアや悪意のあるURLのシグネチャを動的に生成

• インラインで攻撃をブロックまたはSPAN/TAP/BCCで攻撃をモニタリング

• メールの添付ファイルとURLを解析

• シグネチャレスでリアルタイムにマルウェアを検知

• NX Seriesと連携して悪意のあるURLの解析とブロック

• 検出したマルウエアのシグネチャを動的に生成

http://

上記イメージはNX4400 上記イメージはEX8400

18 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEye仮想解析エンジン ADVANCED /DYNAMIC THREAT INTELLIGENCE CLOUD

Phase 1

静的解析 DNS

Web

C&C

Phase 2

動的解析

Multi-vector Virtual eXecution Engine

Web

メール

ファイル

• Webオブジェクトの解析

• 添付ファイルの抽出

• URLの解析

• シグネチャマッチング

ダウンロード

自動生成後にアップロード

自動生成後に内部適用

独自開発の仮想解析環境によりマルウェアに仮想環境であることを認識されない仕組み。

複数OSと複数アプリケーションの複数バージョンを搭載した解析環境を並列に実行。

外部環境に一切の影響を与えることなくファイルシステム/メモリ/ネットワークアクセスを再現。

マウス/キーボードの動作や時間経過も再現。

ファイル単体ではなく複数の通信をまとめて解析。

複数の経路からのオブジェクトやファイルを解析。

19 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEye MVXエンジンはマルチフロー解析 - エクスプロイットの検知は特に重要 -

XOR

バックドアの復号と実行

エクスプロイトの発生

http://www.○○○.com

http://www.△△△.com

http://www.□□□.com

http://www.☆☆☆.com

1

Webサイトへアクセス

3

環境のチェック

エクスプロイトのダウンロード

4

バックドアのダウンロード

5

コールバック

6

2 リダイレクト

㊙

PDF, SWF, JAR, etc

標的型攻撃は多段（マルチフロー）で行われる !

単体ファイルを解析しても意味がない !

すべてのフローが標的の端末で発生して攻撃が成功する !

鍵と暗号ファイルは別々にダウンロードされる !

! 複数のサイトにまたがって攻撃が行われる

20 Copyright © 2015, FireEye, Inc. All rights reserved.

プロセッサレベル (結果の相違)

プロセスレベル検知

• 実行プロセス、ドライバ

• 不自然な結果・パターン

• 例： VMwareuser.exe

人的挙動検知

• ネットワーク接続、

• ブラウザ、メール

• マウス、キーボード他

スリープ

(だんまり)

フック・ホッピング

(DeputyDog)

コード盗用 (Theoretical

attacks)

MVXエンジンはアンチ仮想環境テクニックに対応 ー 新しいテクニックにも迅速に対応 ー

21 Copyright © 2015, FireEye, Inc. All rights reserved.

サイバー攻撃の傾向とNX/EXのカバレッジ

• Web, Emailから始まる攻撃が90%以上（入口対策）

• Web経由でバックドアを作成して漏洩を実施（出口対策） 出典: “Data Breach Investigations Report” Verizon, 2015

FireEyeで包括的に対応

NX

Web経由コールバック ほぼ100％

FireEye調べ

直接インストール

Webドライブバイダウンロード

Eメール添付ファイル

Eメールボディ上のリンク

Webダウンロード

リモートインジェクション

その他ネットワーク経由 NX

E

X

EX

N

X

NX

N

X

マルウェアによるダウンロード NX

FX

22 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeマーケットシェア 2014年

23 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeのマーケットでのポジション

マーケット導入実績

サンドボックス機能評価

マーケットリーダー 有力競合会社 新規参入メーカー

24 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeの日本市場におけるシェア

56.9% 第一位

出典： IDC Japan – IDC Japan （July 2015） IDC 国内標的型サイバー攻撃向け特化型脅威対策製品市場 ヘンダー別 売上げ額シェア 2013年〜2014年

出典：富士キメラ総研 2014年10月

Vender A

Vender B

Vender C

FireEye

2013年 2014年(予測)

25 Copyright © 2015, FireEye, Inc. All rights reserved.

60カ国以上の3,000を超える顧客で構成（常に増加中） 800万以上の仮想環境(MVXエンジン)

1200万以上のエンドポイント

リアルタイム情報共有 リスク、状況に応じ

た

適切なガイド提供

Advanced/DYNAMIC THREAT

INTELLIGENCE （ATI+/DTIクラウド）

世界中の脅威情報（インテリジェンス）の共有

26 Copyright © 2015, FireEye, Inc. All rights reserved.

既存のセキュリティ製品を強力に補完

ファイアウォール/ 次世代ファイアウォール

IP/Port 接続をブロック、アプリケーションレベルでの制御、 エクスプロイトの可視化は不可能

IPS

攻撃のシグネチャを基本とした検知、簡素なアプリケーション分析、高い誤検知

セキュアウェブ ゲートウェイ

アンチウイルス、IPやURL フィルタリング

アンチスパム ゲートウェイ

アンチウイルス、スパムによるシグネチャー、パターンベースの検知

デスクトップ アンチウィルス

アンチウイルスによるシグネチャーベースの検知

既知の脅威情報を元に作成したシグネチャ(定義ファイル)による防御

MVX

セキュリティホール (情報流出の危険性)

MVX

完全防御

既知・未知の攻撃に完全対応

現在の セキュリティ

セキュリティホール (情報流出の危険性)

27 Copyright © 2015, FireEye, Inc. All rights reserved.

システム侵害の調査、対応 • コンプロマイズ・アセスメントの薦め

28 Copyright © 2015, FireEye, Inc. All rights reserved.

標的型攻撃（APT攻撃）のライフサイクル – [後期段階]

Mandiant APT1レポート

P27 “APT1 Attack Lifecycle”より スピアフィッシングや水飲み場攻撃による初期侵入とマルウェアによる足場確立

窃取済み認証情報や新たなマルウェアによる持続性確保

情報収集 足場確立 権限昇格 初期侵入 目的達成

持続性 確保

内部偵察

水平展開

標準コマンドやツールによる内部偵察と水平展開

パスワード窃取等による権限昇格

攻撃の後期段階

29 Copyright © 2015, FireEye, Inc. All rights reserved.

攻撃者の侵入期間

脅威が水面下で 活動している期間

復旧作業

3か月 6か月 9か月

出典： Mandiant M-Trends 2015

205日 ネットワークに侵入した脅威が 検知されるまでの日数（中央値）

侵入

32日 解決までに要する

平均時間

30 Copyright © 2015, FireEye, Inc. All rights reserved.

APTが長期に渡って侵入できる理由

• マルウェアは世界中のどこかで見つかればシグネチャが作成され、発見される可能性がある

• APTの場合、マルウェアは初期の攻撃段階で使用され、目的が達成（リモート接続、クレデンシャルの奪取など）されればそのマルウェアは削除される

• 長期に侵入を継続する場合は、正規のクレデンシャルを使用してWebShellや標準ツールを使用

• 侵入に成功したPCをヘースに標準ツールを使用して水平展開（ラテラルムーブメント）を実行

• OS標準機能（Windows PowerShellなど）を使用してユーザーファイルのダウンロード／アップロードは自在に可能

• 大規模システムでも組織化された集団が効率的に情報収集を実施し、必要情報を圧縮して一カ所に集めて最終的に抜き取る

31 Copyright © 2015, FireEye, Inc. All rights reserved.

予防型セキュリティ対策を容易にすり抜ける攻撃と実情

出典： Mandiant M-Trends 2013

典型的な 脅威

ワーム/ ボット

APT（Advanced Persistent Threat）

高度な標的型攻撃

100% 侵害を受けたシステムの中で、最新のウイルス・シグネチャを適用していたシス

テムの割合

67% 外部から指摘を受けて初めて、セキュリティ侵害の事実を認識した組織の割合

46% 侵害を受けたシステムの中で、マルウェアが存在していなかったシ

ステムの割合

100% セキュリティ侵害事例の中で、正規の認証情報が使用されていた事例の割合

32 Copyright © 2015, FireEye, Inc. All rights reserved.

攻撃者が侵入後に情報搾取するまでの攻撃例

エクスポートされたメールボックスを環境外にFTP送信

Webサーバーがプロセスを実行

プロセスによって権限が昇格

プロセスがネットワーク偵察行為を実行

プロセスがWindowsシステムのプロセスにスレッドをインジェクション

インジェクションされたスレッドがシステムのプロセスメモリからアカウント情報を読み取る

ダンプされたアカウント情報を使用してメールサーバーにログイン

ユーザーのメールボックスをエクスポート、圧縮

4

5

6

7

1

2

3

このような行為の一つ一つには明確な悪意が確認できない、ひとつひとつの痕跡に対する判断では悪意のある行為か通常の行為かの区別がつかないので、これら一連の行為を関連付けて悪意のある行為と判断可能。

33 Copyright © 2015, FireEye, Inc. All rights reserved.

コンプロマイズ・アセスメント （情報システムの侵害・汚染の評価）

の薦め

34 Copyright © 2015, FireEye, Inc. All rights reserved.

コンプロマイズ・アセスメントはどんな時に必要？

• 今までにセキュリティ対策を実施してきたが現在のシステム状態に不安がある

• 外部より、自社のシステムから異常な通信があると指摘されたが現在までの解析では問題が発見されていないので不安である

• 会社の合併、統合などでシステムも統合しなければならないが統合相手のシステムのセキュリティに不安がある

• セキュリティに不安がある場合は人間と同様に健康診断を受けましょう！定期的に実施することで担当者はもとより経営側の心配も取り除くことが可能です。

35 Copyright © 2015, FireEye, Inc. All rights reserved.

標的型攻撃の有無やアクティビティを診断

APT侵害診断 (Compromise Assessment: CA)

再利用された カスタムマルウェア

持続的な攻撃の仕組み

ラテラルムーブメント テクニック

ネットワーク診断 エンドポイント診断 Mandiant 知識の適用

攻撃者の調査 アノマリーの調査 発見した事項の詳細サマリー

主な調査項目など

36 Copyright © 2015, FireEye, Inc. All rights reserved.

コンプロマイズ・アセスメント（APT侵害診断）

侵害が確認されたシステムにはマルウェアが存在しない

46% 正規ツール

侵害されたシステム マルウェアの存在あり

アクセスされたシステム

侵害されたシステム マルウェアの存在なし

正規ツール

攻撃メール

攻撃者は正規アカウント・ツールを使用してシステムを支配するため、 マルウェアや攻撃者のサーバーとの通信だけでなく、

攻撃者の特性“手法・戦術・手順”を理解し、攻撃の全段階において

システムが持つ様々な証跡を全システムで調査する事が極めて重要。

37 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeのCAがAPTを短期間で発見できる理由

• FireEyeには過去のAPTの攻撃の手法、痕跡に関する情報、知見が豊富にあります

• それらの情報をIOC(Indicator of Compromise)化しております

• お客様環境にある全てのWindowsサーバー、PCにエージェントをインストールします

• 必要なIOCを、お客様環境にある全てのWindowsサーバー、PCに紹介します

• IOCによる調査時にはサーバー、PC共に業務を継続することが可能です

• IOCによって侵入の状況、過去の痕跡を確認します • IOCは疑わしい情報の全てを自動的に短期間で収集します • 自動的に収集されたIOCによる調査結果をFireEyeのエンジニアが詳細に手動にて確認します、必要時には追加情報をリモートで取得し、追加解析します。

38 Copyright © 2015, FireEye, Inc. All rights reserved.

エージェントとIOCによる全台調査同時実施

ファイルサーバー

メール ゲートウェイ

Web ゲートウェイ

メールサーバー

FireEye

ネットワーク

センサー

IOCによってマルウェアはもとより、侵入の痕跡、異常通信の有無も調査

FireEye CA Agent A A

FireEye CA Agent

FireEye

CA Agent

サーバー

FireEye CA Agent

DMZ

FireEye CA Agent

IoC IoC IoC IoC IoC

IoC

IoC

IoC

IoC

IoC

FireEye CA Agent A A

IoC

痕跡

マルウェア

痕跡

マルウェア

FireEye

CA Agent

サーバー

ネットワークセンサーで内部間、外部との異常な通信が発生していな

いかも調査

ネットワークセンサーで内部間、外部との異常な通信が発生していな

いかも調査

マルウェアの有無、活動状況をIOCによって調査

マルウェアの有無、活動状況をIOCによって調査

サーバー上の不正アクセスの痕跡をIOCによって調査

サーバー上の不正アクセスの痕跡をIOCによって調査

PC上の不正アクセスの痕跡をIOCによって調査

IoC

痕跡

39 Copyright © 2015, FireEye, Inc. All rights reserved.

大規模なシステムの一括診断が短期間に可能

疑いのあるシステムを調査 全てのシステムを調査

セキュリティコンサル

100,000台以上 〜100台

疑いのあるシステム

侵害の可能性があるシステム

40 Copyright © 2015, FireEye, Inc. All rights reserved.

コンプロマイズ・アセスメントサービスの流れ

事前確認

• NDA（機密保持契約）の締結 • 懸念事項の聞き取り

調査機器設置 • ネットワークとエンドポイントに専用の調査機器を設置・導入

インテリジェンスを使用した 環境調査

• 過去事例に基づいたIOCを使用したネットワークと全エンドポイント調査

アノマリーの 調査

• 攻撃グループの特徴に基づいたアノマリー調査

証拠の解析

• 発見した兆候に対しマルウェアやログのコンサルタントによる徹底調査

詳細な調査 レポート

• 調査結果から詳細なレポートを作成・提示、必要に応じて次ステップの提案

41 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEye 適応型防御 (Adaptive Defense)

42 Copyright © 2015, FireEye, Inc. All rights reserved.

適応型防御 : Adaptive Defense

技術 Technology

• 既知および未知の脅威／マルウェアを使用しない脅威を検知

• すべての主要なヘクトルからの攻撃を防御

• 特許取得済みの仮想解析技術

専門的知識/知見 Expertise

情報 Intelligence • 26個のゼロデイのうち19個を発見

• インシデントレスポンスの現場から収集される生の脅威情報

• 数百万を超える世界中のネットワークおよびエンドポイントセンサーから収集される脅威情報

• 数百名の脅威／マルウェア解析者

• 数百を超える攻撃グループプロファイル

• セキュリティインシデントに即時対応できる専門家

• 数百名のコンサルタント／解析者

• 高度な攻撃グループに対する無類の経験

攻撃者の目的や手法に合わせて対策を検討し事前に対応できる体制を構築

43 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeトータル・セキュリティ・ポートフォリオ - 2015年9月現在 -

Cloud Services Managed Services

Email Threat Prevention

Mobile Threat Prevention Continuous Protection

Continuous Vigilance

Consulting Services

Compromise Assessment

Incident Response

FireEye as a Service

and more…

Dynamic Threat Intelligence

Threat Analytics Platform

DMZ

Marketing Human Resources

Sales Forensics

Web Security Gateway Email Security Gateway

On-premises Products

Phones/Tablets

A A A

A A A

MVX Engine

File Servers

Application Servers

CM Series

FX Series Mail Servers

EX Series

HX Series

NX Series

Mail Servers, Web Servers, etc

HX Series

AX Series

MX Series

Cloud

FX Series

AX Series PX Series

Mobile A A A Advanced Threat Intelligence+

情報

知識/知見

技術

44 Copyright © 2015, FireEye, Inc. All rights reserved.

FireEyeは実際の攻撃から多数のゼロデイを発見

発表日 CVE アプリ URL

2013年01月10日 CVE-2013-0422 Java https://www.fireeye.com/blog/threat-research/2013/01/happy-new-year-from-new-java-zero-day.html

2013年02月07日 CVE-2013-0634 Flash https://www.fireeye.com/blog/threat-research/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html

2013年02月12日 CVE-2013-0640 CVE-2013-0641 PDF https://www.fireeye.com/blog/threat-research/2013/02/in-turn-its-pdf-time.html

2013年02月28日 CVE-2013-1493 Java https://www.fireeye.com/blog/threat-research/2013/02/yaj0-yet-another-java-zero-day-2.html

2013年05月03日 CVE-2013-1347 IE https://www.fireeye.com/blog/threat-research/2013/05/ie-zero-day-is-used-in-dol-watering-hole-attack.html

2013年09月21日 CVE-2013-3893 IE https://www.fireeye.com/blog/threat-research/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

2013年11月08日 CVE-2013-3918 CVE-2014-0266 IE https://www.fireeye.com/blog/threat-research/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html

2013年11月27日 CVE-2013-5065 Win https://www.fireeye.com/blog/threat-research/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html

2014年02月13日 CVE-2014-0322 IE https://www.fireeye.com/blog/threat-research/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html

2014年02月20日 CVE-2014-0502 Flash https://www.fireeye.com/blog/threat-research/2014/02/operation-greedywonk-multiple-economic-and-foreign-policy-sites-compromised-serving-up-flash-zero-day-exploit.html

2014年04月26日 CVE-2014-1776 IE https://www.fireeye.com/blog/threat-research/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

2014年10月14日 CVE-2014-4113 CVE-2014-4148 Win https://www.fireeye.com/blog/threat-research/2014/10/two-targeted-attacks-two-new-zero-days.html

2015年04月18日 CVE-2015-1701 CVE-2015-3043

Win Flash

https://www.fireeye.com/blog/threat-research/2015/04/probable_apt28_useo.html

2015年05月 CVE-2015-1671 Win None

2015年06月23日 CVE-2015-3113 Flash https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html

最近までに悪用が確認されたゼロデイ攻撃の検知実績 : 29個中19個を発

見

45 Copyright © 2015, FireEye, Inc. All rights reserved.

ありがとうございました