サイバー攻撃の増大と複雑化にともない、ゼロデイ攻撃による被害も増えつつあります。ゼロデイ攻撃は予測できず、防御が非常に困難です。しかし、情報システム部門は自社のシステムが被害にあわないように、また被害を最小限に抑えるために、できるだけの対策をとる必要があります。

自社のビジネスを安全に継続させるため、ゼロデイ攻撃について、攻撃の仕組みや被害の事例、とるべき対策などを紹介します。

ゼロデイ攻撃とは

「ゼロデイ攻撃(zero-day attack、ゼロデイアタック)」とは、脆弱性と修正プログラム提供のタイムラグを利用したサイバー攻撃です。まだベンダーが気づいていない、またはベンダーから修復プログラムが提供されていない脆弱性を利用します。

脆弱性とは、総務省によると「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥」とされています。

参考:脆弱性(ぜいじゃくせい)とは?|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト

ゼロデイ攻撃で利用される脆弱性を「ゼロデイ脆弱性」といいます。脆弱性はOSやソフトウェア、ファームウェアなど、さまざまなところにあります。

「ゼロデイ」とは、0日目、修正プログラム提供前という意味を示します。これは、修正プログラムが提供され、対策が可能になった日を1日目として数える習慣から来ています。

ゼロデイ脆弱性は、気づいている人が少ないため、対応が困難です。ゼロデイ脆弱性がある状態は、ユーザーにとっては非常に危険な状態で、悪意のある第三者にとっては攻撃しやすい状態といえるため、数あるサイバー攻撃のなかでも、もっとも深刻な脅威といわれているのです。

ゼロデイ攻撃には、不特定多数を狙った「ばらまき型」の攻撃も多くありますが、特定の相手を狙った「標的型攻撃」に利用されることもあります。近年、脆弱性に関する情報や攻撃に利用できるマルウェアがダークウェブで取引されているため、危険性は増しているといえるでしょう。

ゼロデイ攻撃の仕組み

ゼロデイ攻撃は、次のような流れで発見され、対策が行われます。

  1. 脆弱性の発見
    脆弱性は、OSやソフトウェア、ハードウェアに組み込まれたファームウェアなどで発見されます。 発見したのがだれかにより、その後の流れが変わります。
  2. 被害の発生
    脆弱性から被害が発生します。
    • 発見したのがベンダーの場合
      脆弱性の対策となる修正プログラムの開発が行われます。
      ただし、修正プログラムのリリース情報が公開されると、そこから修正プログラム提供までの間に攻撃を受ける可能性があります。
    • 発見したのがホワイトハッカー、ユーザーの場合
      ベンダーに情報が共有され、修正プログラムの開発が行われます。あとの流れは「発見したのがベンダーの場合」と同じです。
      ただし、情報が公開されて共有されている場合、悪意のある第三者にも利用されてしまいます。
    • 発見したのが悪意のある第三者の場合
      発見した脆弱性を利用され、サイバー攻撃に利用されてしまいます。
      メールへの偽造ファイル添付(標的型攻撃)、Webサイトの改ざん(ばらまき型攻撃)などでマルウェアに感染し、個人情報や機密情報が流出する被害が多いです。
      ベンダーが脆弱性に気づき、修正プログラムを更新するまで被害は続きます。
  3. 対策
    ベンダーが脆弱性情報を公表し、修正プログラムを提供します。
    また、セキュリティソフトウェアのライブラリにデータが追加されることでも対策になる場合もあります。
    ただし、ベンダーは修正プログラムを提供するだけです。実際には、個々のユーザーが自身で修正プログラムをインストールする必要があります。

ゼロデイ攻撃は対策が難しい

ゼロデイ攻撃はほかのサイバー攻撃と比べて対策を講じにくく、被害も大きくなりやすい傾向にあります。理由は次のふたつです。

  • ゼロデイ攻撃には対策がない
    これは、発見から間もない、もしくは存在に気づかれていない脆弱性を攻められるためです。当然、修正プログラムも提供されておらず、セキュリティソフトウェアのライブラリにも登録されていません。
  • 修正プログラムをすぐに適用できない
    修正プログラムが提供されても、すべてのパソコンですぐに修正プログラムをインストールできるわけではありません。業務用パソコンでは、修正プログラム適用前に、ほかの部分に影響がないかテストを行う必要があるためです。

ゼロデイ攻撃のリスクとは

ゼロデイ攻撃には、次のようなリスクがあります。

  • 個々のユーザーが修正プログラムをインストールするまでは、脆弱性がそのままで非常に無防備な状態となる
  • ゼロデイ攻撃によってパソコンやサーバーへの侵入が容易になり、被害が発生しやすい
  • 企業のパソコンやサーバーが被害を受けると、自社だけでなく顧客や取引先にも大きな迷惑をかける

ゼロデイ攻撃の被害の事例

ゼロデイ攻撃は、次のようにさまざまな被害の引き金になります。

  • 不正なアクセスによる情報漏えい
  • ランサムウェアへの感染による金銭的被害や業務上の損失
  • なりすまし
  • ほかのパソコンを攻撃するための踏み台
  • 企業としての社会的信用の低下

ゼロデイ攻撃による有名な事例には、次のようなものがあります。

Shellshock(シェルショック)

2014年に発生した、Linuxで使われているシェル「Bash」の脆弱性を突いたゼロデイ攻撃です。この攻撃によって、サーバーが遠隔操作できる状態になりました。LinuxはサーバーのOSとして利用されることが多く、日本を含め、世界中で大きな被害が発生しました。

Adobe Flash Playerの脆弱性

Adobe Flash Playerには、深刻な脆弱性が複数存在していました。2015年、それを突いてFlashコンテンツを読み込む際に、悪意のあるプログラムをインストールさせられ、システムを遠隔操作されるという攻撃が発生したのです。このゼロデイ攻撃は、多くのWebサイトで「脱Flash」の動きが起こるきっかけとなりました。

「脱Flash」とは、FirefoxやChrome、SafariなどのWebブラウザが初期状態ではFlashを使えなくしたことです。その後、2020年にはAdobe Flash Player自身がFlashのサポートを終了しています。

WannaCry

WannaCry は、Windows OSの脆弱性を攻撃するランサムウェアです。2017年、自己増殖機能を用いて世界中に広まり、大きな被害を出しました。Microsoftがサポート終了後のOSにも修正プログラムを提供したほど大きな影響があったゼロデイ攻撃です。

ゼロデイ攻撃の対策

上述のように、ゼロデイ攻撃に対策を施すことは非常に困難です。しかし、日ごろからできる限りの対処をすることで、リスクを減らすことができます。

プログラムのアップデート

プログラムのアップデートをできる限りこまめに、迅速に行っておきます。ベンダーから提供されるプログラムのアップデートには、多くの場合、修正プログラムが含まれているからです。

プログラムのアップデートは、修正プログラムの更新、プログラム本体のアップデート、ウイルス対策ソフトウェアのライブラリの更新など、さまざまな形式で提供されます。サーバー用OSやネットワーク関連機器などのファームウェアも忘れずに更新しておきましょう。

ゼロデイ攻撃を防ぐことはできませんが、既存の脆弱性を利用したサイバー攻撃を防ぐことができます。

入口対策

ネットワークの入口で、不正なアクセスや不審なプログラムの実行を防ぎます。

  • ファイアウォールの設置
    不正なアクセスをブロックし、侵入を阻止します。
  • サンドボックス設置
    不審なファイルは、実環境ではなく、切り離した環境で動作させ、安全性を検証します。
  • ホワイトリストによるアクセス制限
    安全であると定義したURLにしかアクセスさせない、または許可したアプリケーション以外は動作させないように制限します。
  • IDS/IPSの導入
    侵入検知システム(IDS)や侵入防御システム(IPS)でネットワークを監視し、マルウェアの侵入を阻止します。
  • EPPの導入
    EPP(Endpoint Protection Platform)の導入により、パターンマッチングや振る舞い検知などのさまざまな方式でマルウェアを検知し、侵入を防ぎます。

バックアップ

定期的にバックアップを作成しておきます。トラブルがあってもすぐに原状回復し、被害を最小限に抑えることが可能です。

サイバーレジリエンスの導入

サイバーレジリエンス、つまりサイバー攻撃にあっても被害を最小限に抑え、早期復旧を実現するという概念を導入し、そのための対策を行います。

サイバーレジリエンスについては「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」もご参照ください。

ゼロデイ攻撃の被害を抑えるためにはさまざまな方法でのセキュリティ強化が必要

ゼロデイ攻撃の被害を防ぐことは非常に難しいことを説明しました。しかし、対策が何もないわけではありません。

まずは、できるだけ最新のプログラムに更新して、脆弱性を最小限にとどめることが重要です。また、サイバー攻撃の被害にあっても被害を最小限に抑えるため、入口対策やバックアップの作成などの対策を行います。ポイントは、さまざまなセキュリティ対策を複層的に重ねていくことです。

たとえば、「Webroot® Business Endpoint Protection」でエンドポイントを保護します。そこに「Webroot® DNS Protection」による入口対策や、「Carbonite® Endpoint」によるデータ保護を加えることでセキュリティを強化することが可能です。「Microsoft 365」を利用している場合は、「Carbonite® Backup For Microsoft 365」でバックアップを作成すると、より効果的でしょう。

これらのセキュリティツールについて詳しくは、各ページをご参照ください。