person holding iPhone
10 - 17 - 2024

サイバーセキュリティ関連株の本命は?ゼロデイ脆弱性の脅威に関する分析を踏まえ、注目の米国サイバーセキュリティ銘柄に迫る!

コンヴェクィティ  コンヴェクィティ
  • 中国の支援を受けたハッカーグループによる大規模なサイバーセキュリティ侵害が、米国の盗聴システムに侵入し、数ヶ月間にわたって重要なインフラを脅かしました。この事件は、ゼロデイ脆弱性の危険性を際立たせるものとなりました。 
  • 本稿、Part 1では、ゼロデイ脆弱性を管理する際に政府が直面する戦略的なジレンマについて考え、その結果、今後数年にわたり不安定なサイバー環境が続くことになる可能性を探ります。 
  • そして、サイバーセキュリティ関連株の本命を探るべく、足元の現状を踏まえ、注目の米国サイバーセキュリティ関連銘柄の詳細に迫ります。
  • また、2010年代にゼロデイ脆弱性に取り組んだ主要なプレイヤーについても振り返り、業界がどのようにEDR(エンドポイント検出と応答)に依存するようになったのか、その進化の過程を検証していきます。
  • Part 2では、現在の厳しい状況がサイバーセキュリティ業界にどのように影響を与えるのか、確立された企業や新興企業の注目すべき動向について詳しく解説していきます。。

サマリー

ウォール・ストリート・ジャーナルの報道によると、中国の支援を受けたハッカー集団が、ベライゾン(VZ)などの大手通信会社を通じて米国の盗聴システムに侵入したことが判明しました。

これは、2021年のマイクロソフト・エクスチェンジへの攻撃以来、最大規模のサイバーセキュリティ侵害となる可能性があります。

ハッカーは数カ月間にわたり米国の監視システムに気づかれることなくアクセスし、国の通信網が危険にさらされましたが、全体的な影響はまだ明らかになっていません。

Zero-days / ゼロデイ脆弱性

ゼロデイ脆弱性とは、ソフトウェア開発者が把握していないセキュリティの欠陥であり、悪用される前に修正する時間がないという点で非常に危険です。

通常の脆弱性は善意の研究者によって発見され、CVEコード(共通脆弱性識別子:セキュリティ脆弱性を一意に識別するための番号)が割り当てられますが、ゼロデイは悪用されるまで表面化しないため、特にリスクが高いとされています。

これらの脆弱性は、たとえ高度に安全とされるシステムにも存在する可能性があります。

たとえば、2016年のサンバーナーディーノ事件では、FBIがイスラエル企業のゼロデイ攻撃を使い、ロックされたiPhoneにアクセスしました。

ゼロデイは非常に希少で価値が高く、時には100万ドル以上で取引されることもあります。

ハッカーは複数のゼロデイを組み合わせてシステムに侵入し、高価値のデータに気づかれずにアクセスすることがあります。

このような侵害は、被害者が数カ月から数年もの間気づかないこともあります。

ゼロデイが発見されると、すぐに修正プログラム(パッチ)が作られ、脆弱性の価値は急激に下がります。

国家によるゼロデイ脆弱性を悪用したサイバー攻撃

各国の政府は、ゼロデイ脆弱性を悪用したサイバー攻撃を行ったり、その被害を受けたりしています。

たとえば、中国はゼロデイ脆弱性を使って米国の機関に侵入し、米国も同様に中国の組織を攻撃しています。

特に米国は、従来の諜報手段が強化されたことを受け、ゼロデイ脆弱性を用いたサイバー攻撃に依存するようになっています。

実際、中国の防衛技術研究を行う大学から140GBものデータが盗まれた事件がありました。

詳細はこちらです

西北工業大学への侵入の概要:

・標的: 航空、宇宙、海洋工学の研究で知られる大学

・攻撃の出所: NSA(アメリカ国家安全保障局)のTAO(Tailored Access Operations)が、41種類のサイバー兵器を使い、その中にはBvp47(NSAに関連するハッキンググループ「Equation Group」が使用していたとされるマルウェア)というバックドアツール(システムやネットワークに秘密裏にアクセスできるようにするソフトウェアや手法)の14バージョンが含まれていました。

・侵入経路: 1,100以上の経路と90のコマンドが発見。

・盗まれたデータ: ネットワークの設定情報、パスワード、運用データなど。

・攻撃手段: NSAは、活動の痕跡を隠すために17カ国の54のプロキシサーバー(インターネット通信の仲介役をするサーバー。ユーザーのリクエストを代理で送信し、受け取ったデータをユーザーに返すことで、通信元のIPアドレスを隠すことが可能)を利用しました。

侵入手口:

・ゼロデイ脆弱性の利用: NSAは、SunOSなどのシステムのゼロデイ脆弱性を利用して、セキュリティを突破。

・マルウェア: NOPENと呼ばれるトロイの木馬(正規のソフトウェアに見せかけてコンピュータに侵入し、内部で不正な操作を行うマルウェアの一種)を使って、長期にわたりシステムへのアクセスを維持。

・バックドアツール: Bvp47を使用して、リモートからネットワークを制御し、コマンドを実行。

・データ窃取: スニッフィングツール(ネットワーク上を流れるデータ通信を監視・取得するためのソフトウェア)でパスワードや設定ファイルなどの機密データを収集。

・プロキシネットワーク: 54のプロキシサーバーを使って攻撃の発信源を隠しました。

・痕跡の消去: 高度なツールを使って、NSAの活動の痕跡を消し、発見を困難にしました。

一方で、中国が支援するVolt Typhoonは、米国の通信、エネルギー、水道などの重要インフラを標的にしています。

彼らは正規の資格情報やゼロデイ脆弱性を使い、将来のサイバー攻撃に備えて準備を進めています。

既知の脆弱性やゼロデイを悪用してIT環境内で横方向に移動し、最終的に運用技術(OT)システムに到達することで、大きな脅威をもたらしています。

(出所:CISA)

CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は、重要インフラを運営する組織に対し、脆弱性の修正や、フィッシング(偽のメールやウェブサイトなどを使って、個人情報やパスワードを騙し取る詐欺行為)に強い多要素認証の導入、定期的なログの確認を推奨しています。

特にOTシステム(工場や発電所などの物理的な機器やプロセスを監視・制御するための技術やシステム)では、サポートが終了した技術が更新されず、悪用されやすい状況にあります。

ゼロデイ脆弱性に関しては、政府にとって戦略的なジレンマが生じます。

公開すれば国内インフラの保護につながりますが、非公開にすることで貴重な諜報活動能力を維持することができます。

このため、企業にとっては、政府が諜報活動を優先することで、サイバー攻撃に対して脆弱な状態に置かれるリスクがあり、国家安全保障と企業の安全性のバランスを取る難しさが浮き彫りになっています。

NSAのゼロデイ脆弱性漏洩

政府機関がハッキングされ、その保有する高価値なゼロデイ脆弱性が悪用されると、大規模なサイバーセキュリティの危機が引き起こされます。

代表的な例が、史上最大のランサムウェア攻撃であるWannaCryです。

この攻撃は、NSAが所有していたゼロデイ脆弱性、特にEternalBlueが漏洩し、NSAの知らないうちに悪用されたことで可能になりました。

本来、NSAが重要な作戦に使用していたこれらの脆弱性は、漏洩によって破壊的な力を持つことになりました。

EternalBlueとは?

EternalBlueは、NSAが開発した脆弱性で、2017年にShadow Brokersによって漏洩されました。

この脆弱性は、マイクロソフト(MSFT)のSMBv1(Server Message Block バージョン1:ファイルやプリンタの共有を行うためのネットワークプロトコル)に存在する問題を利用し、未修正のWindowsマシンでリモートコードの実行(悪意のある攻撃者がインターネットやネットワーク経由でリモートからターゲットのシステム上でコードを実行できる脆弱性のこと)を可能にします。

EternalBlueの仕組み

EternalBlueは、SMBv1のバッファオーバーフロー(CVE-2017-0144)を悪用し、メモリを破壊して脆弱なシステムをリモートで制御することができます。

バッファオーバーフローとは、プログラムが処理するデータ量が、あらかじめ用意されたメモリ領域(バッファ)の容量を超えてしまう現象です。

これにより、余分なデータが他のメモリ領域に上書きされ、システムの異常動作やセキュリティ上の脆弱性を引き起こすことがあります。

攻撃者はこれを利用して不正なコードを実行することも可能です。

この脆弱性はネットワーク全体に自動的に広がるため、極めて危険です。

EternalBlueの危険性

EternalBlueは認証が不要で、急速に拡散し、WannaCryのような大規模なサイバー攻撃に使用されました。

パッチが提供されているにもかかわらず、特にレガシーシステムでは依然として多くのシステムが脆弱なままです。

以上より、各国政府、特に米国や中国は、バックドアを利用しており、ゼロデイ脅威が常に存在する不安定なサイバーセキュリティ環境が生まれています。

ゼロデイ攻撃に挑むサイバーセキュリティ企業の第一波

ゼロデイ攻撃がもたらすビジネスへの影響は、いまだに完全に解決されておらず、今後のイノベーターにとっては大きなチャンスです。

2010年代初頭には、FireEye、Mandiant、クラウドストライク(CRWD)の3社がこの分野で特に成功を収めました。

FireEyeはサンドボックス技術を使ってゼロデイ攻撃に対応する先駆者でしたが、マルウェアが進化してサンドボックスを回避するようになると、その有効性が低下しました。

Mandiantは、APT(高度な持続的脅威)に特化し、国家によるハッカーの脅威を広めましたが、規模拡大に苦戦しました。

2013年にFireEyeとMandiantが合併しましたが、SolarWindsの攻撃でシステムが侵害されることを防ぐことはできませんでした。

その一方で、クラウドストライクは「エンドポイント検知と対応(EDR)」を通じて市場を再定義しました。

クラウドストライクは侵害後の検知と対応に注力し、エンドポイントセキュリティのリーダー的存在となりました。

市場で大規模なシェアを持つことで得られたデータを活用し、検知アルゴリズムを洗練させ、競争優位性を高めています。

侵害が発生した後に呼ばれることが多いクラウドストライクは、しばしばゼロデイ脆弱性を特定し、被害を受けた企業がクラウドストライクの製品を採用するきっかけとなっています。

サイバーセキュリティの分野はさらに進化を続けています。センチネルワン(S)は、エンドポイント保護(EPP)を強化し、ゼロデイ攻撃を防ぐための新たなエンドポイント検知と対応(EDR)を提供しています。

また、パロアルトネットワークス(PANW)やSは、エンドポイントだけでなく、複数のソースからのデータを統合するXDR(Extended Detection and Response:EDRを拡張したセキュリティシステムで、エンドポイントだけでなく、ネットワーク、クラウド、メールなど複数のソースからのデータを統合して脅威を検知し、対応する仕組み)へとEDRを発展させています。

さらに、Zero Trust(内部・外部問わず、すべてのアクセス要求を検証)やマイクロセグメンテーション(ネットワークを細かく分割して、各セグメントに異なるセキュリティポリシーを適用する手法)といった技術も、これらの脅威に対処するために注目されています。

これらの技術的進歩にもかかわらず、ゼロデイ脆弱性は依然として重大なリスクです。

Part 2では、今後サイバーセキュリティ業界がどのように発展し、ゼロデイ脆弱性に対処できる可能性のある既存企業や新興企業がどのように活躍するのかを探ります。

また、本稿で取り上げた、クラウドストライクやセンチネルワン、さらに、パロアルトネットワークスに関心のある方は、インベストリンゴのプラットフォーム上で是非関連レポートをご覧いただければと思います。


アナリスト紹介:コンヴェクィティ

2019年に設立されたコンヴェクィティは、AI、サイバーセキュリティ、SaaSを含むエンタープライズ(企業)向けテクノロジーを扱うテクノロジー企業に関する株式分析レポートを提供しています。セールス・チャネルや分析対象企業の経営陣との関係に依存する投資銀行や証券会社のアナリストとは異なり、対象企業のプロダクト、アーキテクチャー、ビジョンを深掘りすることで投資家に付加価値の高い、有益な情報の提供を実現しています。

当社のパートナーであるジョーダン・ランバート氏とサイモン・ヒー氏は、「最新のテクノロジーに対する深い洞察」、「ビジネス戦略」、「財務分析」といったハイテク業界におけるアルファの機会を引き出すために不可欠な要素を兼ね備えております。そして、特に、第一線で活躍する企業やイノベーションをリードするスタートアップ企業を含め、テクノロジー業界を幅広くカバーすることで、投資家のビジビリティと長期的なアルファの向上に努めています。

ジョーダン・ランバート氏 / CFA

ランバート氏は、テクノロジー関連銘柄、および、リサーチとバリュエーションのニュアンスに特別な関心を持つ長年のハイテク投資家です。ランバート氏は、CFA資格を取得した後、201910月にコンヴェクィティを共同設立しており、新たな技術トレンド、並びに、長期的に成功する可能性が高い企業を見極めることを得意としています。

サイモン・ヒー氏

ヒー氏は、10年以上にわたってテクノロジーのあらゆる側面をカバーしてきた経験を生かし、テクノロジー業界における勝者と敗者を見極める鋭い洞察力を持っています。彼のテクノロジーに関するノウハウは、ビジネス戦略や財務分析への理解と相まって、コンヴェクィティの投資リサーチに反映されています。コンヴェクィティを共同設立する以前は、オンラインITフォーラムでコミュニティ・マネージャーを務め、ネットワーク・セキュリティ業務に従事していました。ヒー氏は、ユニバーシティ・カレッジ・ダブリンを卒業し、商学士号を取得しております。

また、コンヴェクィティのその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、コンヴェクィティのプロフィールページにアクセスしていただければと思います。


インベストリンゴでは、弊社のアナリストが、高配当関連銘柄からAIや半導体関連のテクノロジー銘柄まで、米国株個別企業に関する動向を日々日本語でアップデートしております。そして、インベストリンゴのレポート上でカバーされている米国、及び、外国企業数は250銘柄以上となっております。米国株式市場に関心のある方は、是非、弊社プラットフォームよりレポートをご覧いただければと思います。

弊社がカバーしている企業・銘柄の一覧ページはこちら

※インベストリンゴ上のいかなるレポートは、投資や税務、法律のアドバイスを提供するものではなく、情報提供を目的としています。本資料の内容について、当社は一切の責任を負いませんので、あらかじめご了承ください。具体的な投資や税務、法律に関するご相談は、専門のアドバイザーにお問い合わせください