ゼロデイ攻撃は、ソフトウェアやアプリケーションにある未発見の脆弱性を狙ったサイバー攻撃です。
提供するベンダーが脆弱性に気付かない間や、気付いてから修正パッチを公開されるまでの間に攻撃されるため、対策が難しいとされています。
このため、ゼロデイ攻撃は企業にとって大きな脅威となっており、被害も深刻です。
本記事では、ゼロデイ攻撃の基本知識と有効な対策とともに、被害事例について解説します。
ゼロデイ攻撃とは何か?
確認されている複数のサイバー攻撃の中でも対策が容易ではないといわれているのが、ゼロデイ攻撃です。
まず、ゼロデイ攻撃とはどういったものか、「ゼロデイ」の定義や特徴を解説します。
サイバー攻撃のうち、被害の多いマルウェアについて解説した記事をご用意しております。ぜひご確認ください。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
ゼロデイとは攻撃に弱い状態のこと
ゼロデイとは期間を指す言葉で、OSやアプリケーション、ソフトウェアに存在するセキュリティの脆弱性対策がなされていない「0日」状態であることを示します。
ゼロデイとは攻撃に弱い状態、つまり脆弱である状態というわけです。
ゼロデイ攻撃は脆弱性を狙う
ゼロデイ攻撃は、脆弱性が解消される前に行われるサイバー攻撃のことです。
攻撃者は常に、情報セキュリティの脆弱性を探しています。彼らにとってセキュリティ対策が実施される前のゼロデイ状態は格好のターゲットなのです。
ゼロデイ攻撃の特徴は攻撃に気付きにくい
ゼロデイ攻撃はOSやアプリケーション、ソフトウェアを提供するベンダーも認識していない未発見の脆弱性を狙うため、攻撃を受けていることに企業が気付きにくいという特徴があります。
また、認識されてもすぐに防御できるわけではありません。脆弱性に気付き、対策するにしても、セキュリティパッチの配布が完了するまでの期間はゼロデイが続きます。
このゼロデイ期間に脆弱性を狙い、メールにマルウェアを仕込んだファイルを添付して開封させたり、改ざんしたウェブサイトを通じてマルウェアのファイルをダウンロードさせたりして攻撃するのです。
ゼロデイ攻撃で狙われる脆弱性とは?
ゼロデイ攻撃で狙われる脆弱性について詳しく解説します。
セキュリティの脆弱性とは
ゼロデイ攻撃で狙われるセキュリティの脆弱性とは、OSやアプリケーションソフトの設計上の問題や不具合に起因するセキュリティ上の欠陥で、別名セキュリティホールとも呼ばれています。
理論的には、設計に問題がなく不具合を生じさせなければセキュリティの脆弱性はなくなるでしょう。しかし、実際には脆弱性を皆無にすることは難しく、対策と攻撃はいたちごっこです。
脆弱性を狙われやすい対象
実際にゼロデイ攻撃の対象となる脆弱性を持つのはOSやアプリケーションソフトだけではありません。攻撃者が常に狙っている脆弱性の具体例を以下に示します。
- OSやアプリケーションソフト
ゼロデイ攻撃のターゲットの代表格が、OSやアプリケーションソフトの脆弱性です。
広く利用されているOSやビジネスソフトウェアなどの脆弱性が狙われてしまえば、被害は甚大となるでしょう。 - Webサイト
Webサイトのセキュリティ対策が脆弱であれば、サイトの改ざんにつながります。
Webサイトがサイバー攻撃の温床となってしまうことで、サイトを利用する不特定多数のユーザーに被害を広げる可能性があり、より深刻です。 - VPN機器
遠隔地の社員が安全にデータや情報へアクセスするための環境を作るVPNは、リモートワークの浸透に伴い、利用が拡大しています。
ところが、いったんVPN機器の脆弱性を突かれると、安全な回線と思っているだけに大きな被害につながりかねません。 - サプライチェーン
サプライチェーンとは、商品やサービスが製造され、最終的に顧客に提供されるまでの一連の流れやプロセスを指します。サプライチェーンには原材料の調達から生産、流通、販売、最終的な顧客サービスに至るまで、複数の企業が関わっています。
攻撃者はこれらを悪用し、サプライチェーンでつながっている企業や組織の中で、セキュリティレベルの低い部分を狙って侵入します。その後、サプライチェーンを通じて、被害の拡大や連鎖する可能性の高いことが特徴です。
ゼロデイ攻撃に使われる手口
改めて、脆弱性を突いたゼロデイ攻撃の手口について解説します。その手口は、マルウェアを仕込む代表的な2つの攻撃タイプです。主にばらまき型と標的型の2つの攻撃型があることが知られています。
1.ばらまき型攻撃
ばらまき型は不特定多数を目標とした攻撃タイプです。
悪意のあるメールを送る相手のほとんどは直接的な関係がないため、誰もが気になるような件名を用いて開封させようとします。メールに添付されたマルウェアを拡散し、企業の機密情報や個人情報を盗聴・窃取することなどが主目的です。
2.標的型攻撃
標的型は目標を絞って狙い撃ちする攻撃タイプです。
マルウェアの中でも身代金目的のランサムウェアを使った攻撃が代表的です。重大な連絡事項であるかのような件名を使ったり、実在する関係先を装ったりしてメールを送るケースが一般的です。
具体的な手口
一般的なゼロデイ攻撃では、次のような流れがあります。
攻撃目標にマルウェアを接触させる
↓
マルウェアに感染させる
↓
マルウェアの実行
↓
攻撃目的の達成
マルウェアを仕込む主な手口、方法は以下の3種類です。
1.メール添付
攻撃型の紹介で解説した、マルウェアを添付した悪意のあるメールを送りつける手口は、古くから広く使われており、ゼロデイ攻撃における一般的な手口だといえます。
2.Webサイトの改ざん
脆弱性を突いて仕掛けてくるゼロデイ攻撃では、Webサイトの改ざんも主要な手口となっています。
改ざんされたWebサイトを訪問したユーザーに対し、マルウェアが仕込まれたファイルをダウンロードするように仕向けるだけでなく、訪問しただけでマルウェアに感染するケースもあるため要注意です。メールに攻撃用WebサイトのURL、リンクを記載しているケースもあります。
3.サプライチェーン攻撃
サプライチェーンを利用すれば、個別の相手を直接的に狙わなくてもゼロデイ攻撃を仕掛けることが可能です。利用者の多いサービスのネットワークに侵入することで、あっという間に連鎖的に大規模な攻撃につながります。
特定のターゲットのガードが堅い場合は、前述したようなセキュリティレベルの低い関連企業などを伝った攻撃が可能となるのがサプライチェーン攻撃です。
甚大な被害をもたらすゼロデイ攻撃
ゼロデイ攻撃は攻撃を受けていることに気付きにくく、気付いてから対策が完了するまでにタイムラグが生じやすいことから、甚大な被害につながりやすいサイバー攻撃だといえます。
独立行政法人情報処理推進機構(IPA)の資料「情報セキュリティ10大脅威 2023」によると、2022年に発生した企業の情報セキュリティ関連の事案において、セキュリティリスクの第6位に、ゼロデイ攻撃はランクインする重大な脅威であると考えられています。前年の2021年より1つ順位を上げており、今後ますます対策が急がれる目の前の脅威です。
具体的な被害には大きく分けて、以下の3つがあります。
端末の乗っ取り被害
ゼロデイ攻撃を受けると、PC端末を乗っ取られることで甚大な被害が生じる恐れがあります。端末が乗っ取られると、正規のアクセスができなくなって業務が中断したり、データが消失したりするなど、その被害の大きさは計り知れません。
OSの脆弱性やブラウザの脆弱性が主なリスク要因となります。
情報抜き取り被害
情報の抜き取り、盗聴被害もゼロデイ攻撃による大きなリスクです。抜き取りや盗聴された情報を悪用されれば、被害を受ける企業や人の範囲が広がってしまうなど、単に情報が流出しただけでは済まない事態になりかねません。
社会的信用の失墜
ゼロデイ攻撃による被害は、業務中断や情報流出、それによる経済的損失にとどまりません。被害に気付きにくいため、対策が後手に回り被害を拡大させる可能性は高く、企業としての社会的な信用の失墜につながります。
ゼロデイ攻撃の事例
ゼロデイ攻撃によって甚大な被害が生じた実際の事例を確認しておきましょう。
Kaseya VSAのケース
米国で2021年7月に発生したリモートIT管理(RMM)ソリューションである「Kaseya VSA(Virtual System Administrator)」の被害事例は、サプライチェーン攻撃の主要例とも呼べるものです。
VSAを提供する米IT大手のカセヤ社だけにとどまらず、MSP(マネージドサービスプロバイダ)とその顧客を含め、最終的に1,500社もの世界中の企業に影響を生じさせる結果となっています。
これはランサムウェア攻撃で、要求された身代金も7,000万ドル規模と大きなものでした。
シェルショックのケース
2014年に明らかになったシェルショック(Shell Shock)は、bash(バッシュ)に見つかった脆弱性を突かれたサイバー攻撃被害です。
bashとはOSの一部を構成するシェル(*)で、サーバー管理にも利用されていることから容易に業務を停止できない企業が多く、修正パッチの適用まで攻撃にさらされ続ける結果となりました。
これまでに複数の攻撃が報告されていますが、具体的な被害内容などは明らかになっていない部分が多いようです。
*シェル…ユーザーとコンピュータのOSをつなぐ役を担う重要なプログラムの一種
Firefoxのケース
日本国内でもよく使われているWebブラウザーのFirefoxにも、ゼロデイ攻撃の手は伸びています。よく知られているのが、2019年6月に米国で暗号資産(仮想通貨)取引所Coinbaseが攻撃を受けた事例です。
この攻撃は、大学関係者をかたる標的型攻撃メールと、WebブラウザーFirefoxの脆弱性を利用したゼロデイ攻撃を組み合わせたものでした。
Coinbaseは素早く対応し実害を免れましたが、この出来事はWebブラウザーの脆弱性がセキュリティ上の重大な問題となり得ることを改めて知らしめました。
MS Office/WordPadのケース
マイクロソフト社のMS Office/WordPadもゼロデイ攻撃の対象となっています。
2017年4月に、短期間で80万通にも及ぶ攻撃メールが送信された重大事案です。Wordファイルに偽装したRTNファイルを開くと被害が発生する恐れが高く、各所で注意喚起が行われました。
WannaCryによるケース
ランサムウェアであるWannaCryによるサイバー攻撃が、2017年5月、世界各地で猛威を振るいました。
この攻撃には、脆弱性を攻撃する「EternalBlue」と呼ばれるツールが用いられたことで有名です。EternalBlueを用いた攻撃はWannaCryによるケースだけでなく、形を変えて繰り返されています。
国内電機メーカーのケース
2020年1月、電機メーカー大手である三菱電機は、運用するウイルス対策ソフトの脆弱性を突かれたゼロデイ攻撃による被害を公表しました。発表によれば、業務にかかわる被害に加え、8,000人規模の個人情報が流出しています。
また、防衛省の注意情報といったデータも流出した可能性があり、ゼロデイ攻撃の脅威が再確認される事例です。
VPNのゼロデイ脆弱性が狙われるケース
仮想的な閉鎖網を構築するVPN製品の脆弱性はゼロデイ攻撃の標的になりやすいといえます。
インターネット環境を利用している場合、元はオープンなネットワークです。脆弱性を突くことができれば、不正アクセスにより各種の情報を入手できます。ランサムウェア攻撃を受け身代金を要求されたり、多くの機密情報が漏えいしたりといった事例が報告されています。
効果的なゼロデイ攻撃対策とは
深刻で甚大な被害につながりかねないゼロデイ攻撃は、攻撃を受けないことが第一です。
そして、攻撃を受けた場合にも被害を最小限にとどめることが求められます。
そこで重要となるのが、効果的なゼロデイ対策ソリューションの導入です。より有効にするには、対策を複数組み合わせることが必要です。
常にアップデートする
OSやアプリケーションソフトの利用において、当たり前に行われるべきセキュリティ対策として、機能追加や不具合の改善を更新し、最新の状態にするアップデートがあります。
また、ソフトが古くなった場合などはプログラムそのものを最新版に置き換えるバージョンアップも必要です。アップデートやバージョンアップをしないで使い続けると、セキュリティが陳腐化し、脆弱性の拡大が懸念されます。
セキュリティ意識を高める
ゼロデイ攻撃の多くは、アップデートやバージョンアップによっても対策されていない脆弱性を突いてくるため、そもそも狙われないことを意識する必要があります。
クラウド環境が広がりを見せる中では、全社的にセキュリティ意識を高め、業務にあたることがより重要です。
知らない相手からのメールや添付ファイルは開かない、安易にリンク誘導されているURLにアクセスしない、アクセス制限や情報秘匿の仕組みづくりを行うなど、できることはすべて行います。
テクバンでは、メールセキュリティのソリューションとして、Sophos Email SecurityとTechvan Cloud App Security導入支援サービスを提供しています。ぜひご確認ください。
サンドボックスの導入
コンピューターの内部に独立して設定される仮想環境をサンドボックスと呼んでいます。
サンドボックスの利用で、危険性が疑われるファイルを確認したり、新たなマルウェアを検知したりすることができ、ゼロデイ攻撃のリスク低減が可能です。
IDS・IPSの導入
IDS(Intrusion Detection System:不正侵入検知システム)やIPS(Intrusion Prevention System:不正侵入防止システム)を導入することで、異常を検知したり侵入したマルウェアの活動を阻害したりできます。
IDSは不正侵入を検知して通報する機能を、IPSは検知した不正な通信を遮断・防御する機能まで備えています。
EDRの導入
EDR(Endpoint Detection and Response)はネットワーク上のエンドポイント、つまりコンピューター端末やサーバーなどを監視し、不正の検知や対処を行うソフトウェア、ソリューションです。
侵入したマルウェアを発見し、駆除や隔離までできるEDRを導入することで、万一の場合でも素早い対応が可能です。
テクバンでは、EDRソリューションとして、VMware Carbon Black Cloud(EDR)導入支援サービス、Sophos Intercept X Advanced、CrowdStrike Falcon導入支援を提供しています。
その他のセキュリティ対策については、次世代セキュリティ対策でご確認いただけます。
WAFの導入
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いたゼロデイ攻撃に対処するソフトウェア、ソリューションです。通信をWebサーバーの前段階でチェックし、危険であれば遮断します。
攻撃を受けたときの対処法
ゼロデイ攻撃を受けたことに気付いたら、速やかに以下の対処法を実施する必要があります。
- ネットワークからの遮断
ゼロデイ攻撃に対する第一の対処は、攻撃を受けたWebサイトや端末などのネットワークからの遮断です。
ゼロデイ攻撃はネットワークを介して行われるため、サプライチェーン攻撃でなくても他へと広がる恐れがあります。被害拡大を防ぐためには、時間的猶予はありません。 - 状況確認と対策の実施
ネットワークからの遮断を実行できれば、次に状況の確認と対策に移ります。
セキュリティ担当部署や人員が配置されている場合は、情報を集約して対策を検討することが重要です。必要に応じて外部の関係先への連絡や相談も行います。
ゼロデイ攻撃対策には外部の支援サービスが有効
未知の脆弱性を狙われるゼロデイ攻撃への対策は、自社だけで実施するには専門性が高く、失敗が許されないため、困難なケースが多いようです。
そこで、外部の支援サービスの利用の検討は有効といえるでしょう。
本業とゼロデイ攻撃対策を両立させる難しさ
未発見の脆弱性を突いてくるゼロデイ攻撃対策を、自社だけで完結させることは、セキュリティ対策企業でもない限り、容易ではないでしょう。
仮に本業のリソースを割いて取り組んだとしても、有効なゼロデイ攻撃対策ができる保障がありません。
そのため、専門知識と実績がある外部の支援サービスを活用することがゼロデイ攻撃対策の近道といえます。
自社の状況に最適な提案を受けられる外部サービス
実績とノウハウを蓄積している外部の支援サービスを受けることで、社内にセキュリティ人材を抱えるよりも早く、適正なコストで自社にマッチするゼロデイ攻撃対策を実施できるでしょう。
例えばテクバンのEDRなど先に紹介したソリューションを含む支援サービスがあります。テクバンではそれぞれの企業に最適なソリューションの提案を実施しています。
ゼロデイ攻撃には専門家の支援を含めた抜本的な対策を
ここまでゼロデイ攻撃の概要から、被害事例、対策について解説してきました。
攻撃に気付きにくい点と、気付いたとしても修正パッチが適用できるまで脅威が続くケースが多い点から、ゼロデイ攻撃は他の攻撃以上に対策が難しく厄介です。
攻撃の手口も複数あり、発生した被害が拡大するスピードも遅くありません。
こういった状況では、専門知識を持ち合わせていない企業や組織が自力で対策することは、非常に難易度が高いものです。
ゼロデイ攻撃への備えを強化するなら、専門家の支援を含め抜本的な対策を考えることをおすすめします。