エクスプロイトキット

エクスプロイトキット (英:exploit kit) とは、標的のコンピュータに対してエクスプロイトを自動的に管理・展開するために使用されるツールである。エクスプロイトキットを使用することで、攻撃者は使用するエクスプロイトに関する高度な知識を持たずにマルウェアを配信することが可能となる。一般的にはブラウザの脆弱性が使用されるが、Adobe Readerなどの一般的なソフトウェアやOSそのものを標的としたエクスプロイトが含まれることもある。ほとんどのキットはPHPで書かれている^[1]。

エクスプロイトキットは多くの場合、ブラックマーケットにおいて、スタンドアロンのキットとして、あるいはサービスとして販売されている。

初期のエクスプロイトキットの例として、2006年に作成されたWebAttackerやMPackが挙げられる。これらはブラックマーケットで販売され、攻撃者がコンピュータセキュリティに関する高度な知識を持たずにエクスプロイトを使用することを可能にした^[2]^[3]。

2010年、Blackholeエクスプロイトキットがリリースされ、一括購入または有料でのレンタルが可能であった^[4]。Malwarebytes社は、2012年から2013年の大部分において、Blackholeがマルウェア配信の主要な手法であったと述べている^[5]。2013年後半に作成者が逮捕された後、同キットの使用は激減した^[5]^[6]^[7]。

2012年、Neutrinoが初めて検出され^[8]、多数のランサムウェアキャンペーンで使用された。同キットはAdobe Reader、Java Runtime Environment、およびAdobe Flashの脆弱性を悪用していた^[9]。Cisco TalosとGoDaddyによるNeutrinoのマルバタイジングキャンペーンを阻止する共同作戦の後^[10]、作成者はキットの販売を停止し、既存のクライアントに対するサポートとアップデートのみを提供することを決定した。それにもかかわらずキットの開発は続けられ、新たなエクスプロイトが追加された^[11]。2017年4月の時点で、Neutrinoの活動は停止している^[12]。2017年6月15日、F-Secureは「R.I.P. Neutrino exploit kit. We'll miss you (not).（安らかに眠れ、Neutrinoエクスプロイトキット。寂しくなるよ（嘘））」とツイートし、Neutrinoの検出数が完全に減少したことを示すグラフを公開した^[13]。

2017年以降、エクスプロイトキットの使用は減少している。その原因として、サイバー犯罪者の逮捕、セキュリティの向上によるエクスプロイトの困難化、サイバー犯罪者がMicrosoft Officeのマクロやソーシャル・エンジニアリングといった他のマルウェア配信方法へ移行したことなど、様々な要因が考えられている^[14]。

エクスプロイトキットからの攻撃を防ぐために機能するシステムは数多く存在する。これには、ゲートウェイ・アンチウイルス、侵入防止システム、アンチスパイウェアなどが含まれる。また、加入者がこれらの防御システムを継続的に受け取る方法もあり、攻撃から身を守る上で役立っている^[15]。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディング（英語版）クロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) ドメインハイジャックセッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) クリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) Eメール・インジェクション（英語版）メールボム Eメールスプーフィング
マルウェア・悪意のあるプログラム	アドウェアインターネットボットキーロガークリプトジャッキング (仮想通貨マイニング) コンピュータウイルススケアウェア (偽警告) ステガノグラフィ・マルウェア（英語版）スパイウェアダウンローダートロイの木馬ドロッパーバックドアファイルレスマルウェアボットネットポリモーフィック型マルウェアマルバタイジングランサムウェアルートキットワイパー (データ消去型) ワーム
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) Forward secrecy 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Pretty Good Privacy（PGP） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃 Exploit kit アクティブディフェンスゼロデイ攻撃サイバーキルチェーンクラッキング最小権限の原則サイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングゾンビコンピュータセキュリティホールダークウェブデジタル・フォレンジックハクティビズムハッカーブラウザクラッシャーペイロード水飲み場型攻撃 Metasploit PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）国家サイバー統括室（NCO）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

エクスプロイトキット

概要

エクスプロイトのプロセス

機能

関連項目

脚注

Related Articles