【Part 1】サイバーセキュリティ関連株の本命は？ゼロデイ脆弱性の脅威に関する分析を踏まえ、注目の米国サイバーセキュリティ銘柄に迫る！

サマリー

ウォール・ストリート・ジャーナルの報道によると、中国の支援を受けたハッカー集団が、ベライゾン（VZ）などの大手通信会社を通じて米国の盗聴システムに侵入したことが判明しました。

これは、2021年のマイクロソフト・エクスチェンジへの攻撃以来、最大規模のサイバーセキュリティ侵害となる可能性があります。

ハッカーは数カ月間にわたり米国の監視システムに気づかれることなくアクセスし、国の通信網が危険にさらされましたが、全体的な影響はまだ明らかになっていません。

Zero-days / ゼロデイ脆弱性

ゼロデイ脆弱性とは、ソフトウェア開発者が把握していないセキュリティの欠陥であり、悪用される前に修正する時間がないという点で非常に危険です。

通常の脆弱性は善意の研究者によって発見され、CVEコード（共通脆弱性識別子：セキュリティ脆弱性を一意に識別するための番号）が割り当てられますが、ゼロデイは悪用されるまで表面化しないため、特にリスクが高いとされています。

これらの脆弱性は、たとえ高度に安全とされるシステムにも存在する可能性があります。

たとえば、2016年のサンバーナーディーノ事件では、FBIがイスラエル企業のゼロデイ攻撃を使い、ロックされたiPhoneにアクセスしました。

ゼロデイは非常に希少で価値が高く、時には100万ドル以上で取引されることもあります。

ハッカーは複数のゼロデイを組み合わせてシステムに侵入し、高価値のデータに気づかれずにアクセスすることがあります。

このような侵害は、被害者が数カ月から数年もの間気づかないこともあります。

ゼロデイが発見されると、すぐに修正プログラム（パッチ）が作られ、脆弱性の価値は急激に下がります。

国家によるゼロデイ脆弱性を悪用したサイバー攻撃

各国の政府は、ゼロデイ脆弱性を悪用したサイバー攻撃を行ったり、その被害を受けたりしています。

たとえば、中国はゼロデイ脆弱性を使って米国の機関に侵入し、米国も同様に中国の組織を攻撃しています。

特に米国は、従来の諜報手段が強化されたことを受け、ゼロデイ脆弱性を用いたサイバー攻撃に依存するようになっています。

実際、中国の防衛技術研究を行う大学から140GBものデータが盗まれた事件がありました。

詳細はこちらです。

西北工業大学への侵入の概要:

・標的: 航空、宇宙、海洋工学の研究で知られる大学

・攻撃の出所: NSA（アメリカ国家安全保障局）のTAO（Tailored Access Operations）が、41種類のサイバー兵器を使い、その中にはBvp47（NSAに関連するハッキンググループ「Equation Group」が使用していたとされるマルウェア）というバックドアツール（システムやネットワークに秘密裏にアクセスできるようにするソフトウェアや手法）の14バージョンが含まれていました。

・侵入経路: 1,100以上の経路と90のコマンドが発見。

・盗まれたデータ: ネットワークの設定情報、パスワード、運用データなど。

・攻撃手段: NSAは、活動の痕跡を隠すために17カ国の54のプロキシサーバー（インターネット通信の仲介役をするサーバー。ユーザーのリクエストを代理で送信し、受け取ったデータをユーザーに返すことで、通信元のIPアドレスを隠すことが可能）を利用しました。

侵入手口:

・ゼロデイ脆弱性の利用: NSAは、SunOSなどのシステムのゼロデイ脆弱性を利用して、セキュリティを突破。

・マルウェア: NOPENと呼ばれるトロイの木馬（正規のソフトウェアに見せかけてコンピュータに侵入し、内部で不正な操作を行うマルウェアの一種）を使って、長期にわたりシステムへのアクセスを維持。

・バックドアツール: Bvp47を使用して、リモートからネットワークを制御し、コマンドを実行。

・データ窃取: スニッフィングツール（ネットワーク上を流れるデータ通信を監視・取得するためのソフトウェア）でパスワードや設定ファイルなどの機密データを収集。

・プロキシネットワーク: 54のプロキシサーバーを使って攻撃の発信源を隠しました。

・痕跡の消去: 高度なツールを使って、NSAの活動の痕跡を消し、発見を困難にしました。

一方で、中国が支援するVolt Typhoonは、米国の通信、エネルギー、水道などの重要インフラを標的にしています。

彼らは正規の資格情報やゼロデイ脆弱性を使い、将来のサイバー攻撃に備えて準備を進めています。

既知の脆弱性やゼロデイを悪用してIT環境内で横方向に移動し、最終的に運用技術（OT）システムに到達することで、大きな脅威をもたらしています。

（出所：CISA）

CISA（米国サイバーセキュリティ・インフラセキュリティ庁）は、重要インフラを運営する組織に対し、脆弱性の修正や、フィッシング（偽のメールやウェブサイトなどを使って、個人情報やパスワードを騙し取る詐欺行為）に強い多要素認証の導入、定期的なログの確認を推奨しています。

特にOTシステム（工場や発電所などの物理的な機器やプロセスを監視・制御するための技術やシステム）では、サポートが終了した技術が更新されず、悪用されやすい状況にあります。

ゼロデイ脆弱性に関しては、政府にとって戦略的なジレンマが生じます。

公開すれば国内インフラの保護につながりますが、非公開にすることで貴重な諜報活動能力を維持することができます。

このため、企業にとっては、政府が諜報活動を優先することで、サイバー攻撃に対して脆弱な状態に置かれるリスクがあり、国家安全保障と企業の安全性のバランスを取る難しさが浮き彫りになっています。

NSAのゼロデイ脆弱性漏洩

政府機関がハッキングされ、その保有する高価値なゼロデイ脆弱性が悪用されると、大規模なサイバーセキュリティの危機が引き起こされます。

代表的な例が、史上最大のランサムウェア攻撃であるWannaCryです。

この攻撃は、NSAが所有していたゼロデイ脆弱性、特にEternalBlueが漏洩し、NSAの知らないうちに悪用されたことで可能になりました。

本来、NSAが重要な作戦に使用していたこれらの脆弱性は、漏洩によって破壊的な力を持つことになりました。

EternalBlueとは？

EternalBlueは、NSAが開発した脆弱性で、2017年にShadow Brokersによって漏洩されました。

この脆弱性は、マイクロソフト（MSFT）のSMBv1（Server Message Block バージョン1：ファイルやプリンタの共有を行うためのネットワークプロトコル）に存在する問題を利用し、未修正のWindowsマシンでリモートコードの実行（悪意のある攻撃者がインターネットやネットワーク経由でリモートからターゲットのシステム上でコードを実行できる脆弱性のこと）を可能にします。

EternalBlueの仕組み

EternalBlueは、SMBv1のバッファオーバーフロー（CVE-2017-0144）を悪用し、メモリを破壊して脆弱なシステムをリモートで制御することができます。

バッファオーバーフローとは、プログラムが処理するデータ量が、あらかじめ用意されたメモリ領域（バッファ）の容量を超えてしまう現象です。

これにより、余分なデータが他のメモリ領域に上書きされ、システムの異常動作やセキュリティ上の脆弱性を引き起こすことがあります。

攻撃者はこれを利用して不正なコードを実行することも可能です。

この脆弱性はネットワーク全体に自動的に広がるため、極めて危険です。

EternalBlueの危険性

EternalBlueは認証が不要で、急速に拡散し、WannaCryのような大規模なサイバー攻撃に使用されました。

パッチが提供されているにもかかわらず、特にレガシーシステムでは依然として多くのシステムが脆弱なままです。

以上より、各国政府、特に米国や中国は、バックドアを利用しており、ゼロデイ脅威が常に存在する不安定なサイバーセキュリティ環境が生まれています。

ゼロデイ攻撃に挑むサイバーセキュリティ企業の第一波

ゼロデイ攻撃がもたらすビジネスへの影響は、いまだに完全に解決されておらず、今後のイノベーターにとっては大きなチャンスです。

2010年代初頭には、FireEye、Mandiant、クラウドストライク（CRWD）の3社がこの分野で特に成功を収めました。

FireEyeはサンドボックス技術を使ってゼロデイ攻撃に対応する先駆者でしたが、マルウェアが進化してサンドボックスを回避するようになると、その有効性が低下しました。

Mandiantは、APT（高度な持続的脅威）に特化し、国家によるハッカーの脅威を広めましたが、規模拡大に苦戦しました。

2013年にFireEyeとMandiantが合併しましたが、SolarWindsの攻撃でシステムが侵害されることを防ぐことはできませんでした。

その一方で、クラウドストライクは「エンドポイント検知と対応（EDR）」を通じて市場を再定義しました。

クラウドストライクは侵害後の検知と対応に注力し、エンドポイントセキュリティのリーダー的存在となりました。

市場で大規模なシェアを持つことで得られたデータを活用し、検知アルゴリズムを洗練させ、競争優位性を高めています。

侵害が発生した後に呼ばれることが多いクラウドストライクは、しばしばゼロデイ脆弱性を特定し、被害を受けた企業がクラウドストライクの製品を採用するきっかけとなっています。

サイバーセキュリティの分野はさらに進化を続けています。センチネルワン（S）は、エンドポイント保護（EPP）を強化し、ゼロデイ攻撃を防ぐための新たなエンドポイント検知と対応（EDR）を提供しています。

また、パロアルトネットワークス（PANW）やSは、エンドポイントだけでなく、複数のソースからのデータを統合するXDR（Extended Detection and Response：EDRを拡張したセキュリティシステムで、エンドポイントだけでなく、ネットワーク、クラウド、メールなど複数のソースからのデータを統合して脅威を検知し、対応する仕組み）へとEDRを発展させています。

さらに、Zero Trust（内部・外部問わず、すべてのアクセス要求を検証）やマイクロセグメンテーション（ネットワークを細かく分割して、各セグメントに異なるセキュリティポリシーを適用する手法）といった技術も、これらの脅威に対処するために注目されています。

これらの技術的進歩にもかかわらず、ゼロデイ脆弱性は依然として重大なリスクです。

Part 2では、今後サイバーセキュリティ業界がどのように発展し、ゼロデイ脆弱性に対処できる可能性のある既存企業や新興企業がどのように活躍するのかを探ります。

また、本稿で取り上げた、クラウドストライクやセンチネルワン、さらに、パロアルトネットワークスに関心のある方は、インベストリンゴのプラットフォーム上で是非関連レポートをご覧いただければと思います。

※続きは「【Part 2】ゼロデイとは？注目の米国サイバーセキュリティ企業がEDR（エンドポイント検出と応答）からどの様に進化していくのかを徹底分析！」をご覧ください。

また、弊社のプロフィール上にて、弊社をフォローしていただくと、最新のレポートがリリースされる度に、リアルタイムでメール経由でお知らせを受け取ることが出来ます。

弊社のテクノロジー関連銘柄に関するレポートに関心がございましたら、是非、フォローしていただければと思います。

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、コンヴェクィティのプロフィールページにアクセスしていただければと思います。