今やかつてのように、パッチを当てることが対策として充分機能する、攻撃が起きる前にアプリケーション提供側が対策を打てる、という状況ではないようですが間に合わないゼロデイ攻撃事例が増加している理由、その1つは、そもそも攻撃の方が防御より速度的には有利であるという点があるでしょう。
防御すべきアプリケーションは穴のないように作り込む必要がありますが、攻撃するためのツールは、目的さえ達成できるならバグや脆弱性の有無はさほど重要ではないのです。しかし、ここ最近の増加は、それだけが理由ではないと感じています。
昔でこそ自分の力試しを理由とし、愉快犯にカテゴライズされるようなケースは少なからずありました。しかし、近年では利益(金銭、権力、主義主張などを含めた)を得るための犯行がほとんどです。そしてその現実は、そのまま攻撃者の個人から組織への変化につながります。
犯行グループという意味合いだけでなく、ブラックマーケットの存在、情報の売買や攻撃ツールの売買など、攻撃者同士の「横のつながり」がより問題を厄介にしています。Anonymousに代表されるような、ハッキングを通じ己が正義や主義主張(信仰を含め)を貫くハクティビズム集団も、正義のために攻撃を研究したり集団内で成果を共有したりと、問題を深刻化している原因の1つと言えるでしょう。
システムが守りにくくなっている理由
不幸なことに、攻撃される側の環境変化は年を経るごとにますます「守りにくい」環境となってしまいました。例えば、ウェブサイト。かつてhtmlで作成していたサイトに送信フォームなどPHPで書いたCGIを追加するなどし、徐々に動的なページが増えた結果、後になって一部をJavaで作り直すことになった場合です。過去の担当者はもう退職し、社内に存在しません。こんな状況は珍しくもないだろうと思います。
こうして複雑な構造となったウェブサイトはもはや業務の1つひとつがどれも単体のアプリケーションでは実施されません。全貌を把握し、攻撃手法の増加とともにOSやアプリケーションのパッチリリースやバージョンアップに対応するなど、現実的にはハードルの高い話だと感じるかもしれません。もしこの状況下で攻撃されたら、攻撃者がどこを狙って攻撃したのか、どの部分が関係しているのかすら、担当者には容易には判別できないでしょう。
