「高度なゼロデイ攻撃手法が商品化」「複数の脆弱性を同時に突く」 GTIGがゼロデイ攻撃分析レポートを発表 対策も紹介（2/2 ページ）

[三木泉，＠IT]

防御

インフラ

• ネットワークの分離　侵害された外部コンポーネントからの横展開を防ぐため、DMZ、ファイアウォール、VPNを、コアネットワークやドメインコントローラなどの重要な資産から適切に分離する
• 実行フローの監視　アプリケーション内の実行フローを監視し、不正なデータベースクエリやシェルコマンドをブロックする
• ポートの制限　必要不可欠でない限り、デバイスのネットワークポートをインターネットに公開しない

個人用デバイス

• 物理的な保護　悪用のリスクが高まっている場合は、デバイスの電源を切るか、自宅に置いておく
• 制限モードの活用　物理的攻撃のリスクが高まっている場合は、デバイスを「BFU（初回アンロック前）」モードおよびUSB制限モードに設定する
• 通信の遮断　近接攻撃のリスクが高まっている場合は、携帯通信、Wi-Fi、Bluetoothをオフにする
• 迅速な更新　パッチが利用可能になったらすぐに適用する
• プライバシー設定　広告ブロッカーを使用してAppleの広告プライバシー設定を構成し、可能な場合はAndroidのプライバシーサンドボックスオプションを有効にする
• 高度な保護　Androidの「高度な保護機能モード」やiiOSの「ロックダウンモード」を有効化する
• 最小化　使用していないアプリケーションを削除し、デフォルトで有効になっているものを含め、不要なサービスや機能を無効にする

検知

インフラ

• カーネル層の監視　厳格なドライバーブロックリストを適用し、従来のEDRが見落とす可能性のある異常なカーネルレベルの挙動をフラグする
• ベースラインの構築　システムプロセスの基準値（ベースライン）を確立し、環境寄生型（Living off the Land）攻撃やその他の持続的な侵害活動を検知できるようにする
• おとりの設置　カナリートークン／ファイルを配置し、横展開の動きを精度の高いアラートとして収集する

個人用デバイス

• 専門家への相談　不審なリンクや添付ファイルを受け取った場合、あるいはOSやアプリの不審なクラッシュを確認した場合は、専門家に助言を求める
• Googleの保護プログラム　Googleの「高度な保護機能プログラム」に登録する
• 保護機能の有効化　Androidの「高度な保護機能モード」、Chromeの「セーフブラウジング、Safariの「詐欺サイトの警告」、Edgeの「セキュリティの強化」を有効にする

対応

インフラ

• SBOMの管理　ソフトウェア部品表（SBOM）を維持し、Log4jのようなゼロデイ脆弱性が公開された際に、環境内のどのライブラリが影響を受けるかを即座に特定できるようにする
• 緊急プロセスの確立　即時の対応が必要な脆弱性に対し、通常の変更管理プロセスをバイパスできる手順を確立する
• 暫定措置　パッチが利用できない場合は、特定のサービスを無効にしたり、境界での特定ポートを遮断したりするなどの応急措置を講じて、システムやコンポーネントを隔離する

個人用デバイス

• 定期的な再起動　スマートフォンを定期的に再起動する