IT技術の進歩が著しい今日、サイバー攻撃の手口は複雑になっており、攻撃手法も増えています。多様化しているサイバー攻撃の中でも、「ゼロデイ攻撃」は大企業のセキュリティをくぐり抜けて深刻なダメージを与える、非常に危険度の高い攻撃手法です。本記事ではゼロデイ攻撃の概要や事例について紹介した後に、ゼロデイ攻撃の対策方法について解説します。
ゼロデイ攻撃とは
ゼロデイ攻撃とは、セキュリティホールと呼ばれるソフトウェアの脆弱性を狙ったサイバー攻撃です。ゼロデイ攻撃は脆弱性対策の修正パッチが公開されるまでの、わずかな期間を狙って行われます。攻撃者はソフトウェアの脆弱性を見つけた上で、その脆弱性がソフト開発者に発見されていないことを確認してから攻撃実施を決定します。脆弱性の対策が行われていない状態で攻撃されてしまうため、ゼロデイ攻撃の防止は難しく、ダメージが深刻になる場合が多いです。
ゼロデイ攻撃の意味
修正プログラムがリリースされた日を1日目とした際に、修正プログラムが適用されていない状態を「ゼロデイ(0日目)」と表したことがゼロデイ攻撃の名前の由来です。また、「ゼロデイ」は脆弱性が発見されてから、サイバー攻撃までの猶予がほとんどないことも表しています。
ゼロデイ攻撃の手口と仕組みについて
ゼロデイ攻撃は「ばらまき型」と「標的型」の2種類に分けられます。ばらまき型のゼロデイ攻撃は、Webサイトにアクセスする不特定多数のユーザーをターゲットにします。Webサイトのプログラムを改ざんし、脆弱性につけこんだ不正プログラムを設置することでサイトにアクセスしたユーザーを攻撃するというのが、ばらまき型のゼロデイ攻撃の手口です。一方、標的型のゼロデイ攻撃は、特定の企業やユーザーをターゲットにします。不正プログラムをメールの添付ファイルに仕込むことで、ファイルを開封したユーザーを不正プログラムに感染させるのが、標的型のゼロデイ攻撃の手口です。ファイル添付だけでなく、URLのクリックによって感染してしまうケースもあります。
ゼロデイ攻撃の事例
ここからは、ゼロデイ攻撃の具体的な被害事例について紹介します。
2014年「シェルショック事件」
シェルショック事件とは、コマンド言語であるBash(バッシュ)の脆弱性を狙ったゼロデイ攻撃です。シェルショック事件では、Bashの主要な脆弱性の一つである遠隔からのコマンド実行を許してしまう症状が逆手に取られ、広範囲のサイバー攻撃が行われました。報告されたBashの脆弱性は悪用が容易なものであったため、悪用による被害は甚大であったと予想できます。2014年9月12日に修正プログラムが開発されましたが、Bashを常時利用していた企業は修正プログラムが開発されるまで、サイバー攻撃の危険にさらされることとなりました。
2015年「Adobe Flash Player」
2015年9月にAdobe Flash Playerの更新版がリリースされ、メモリ破壊やスタックオーバーフローなど、23項目の脆弱性修正が発表されました。しかし同年10月、発表されたものとは別の脆弱性を狙ったゼロデイ攻撃が判明。ゼロデイ攻撃が狙った脆弱性は、Flash読み込み時に必要のないソフトウェアも全て強制的にダウンロードされてしまうというものでした。脆弱性を狙ったソフトウェア内のマルウェア侵入によって、インストールしたデバイスの個人情報流出や、PCの乗っ取りといった被害が多発し、Pawn Stormを始めとしたサイバー犯罪組織に悪用されてしまいました。ゼロデイ攻撃の影響も相まって、2020年末にAdobe Flash Playerのサポートは終了しています。世界的企業のサービスの一つを終了させてしまうほど、ゼロデイ攻撃が強力であることを示す事例です。
2019年「暗号資産取引所Coinbase」
2019年8月9日、アメリカの暗号資産取引所Coinbaseがゼロデイ攻撃を受けていたことを発表しました。Coinbaseが受けた攻撃は大学関係者を装った標的型攻撃のメールと、2019年6月に判明したFirefoxの脆弱性を悪用したものでした。Coinbase社員による徹底した情報共有と迅速な原因特定によって、ゼロデイ攻撃による被害はなかったと報告されています。巧妙に行われたゼロデイ攻撃と、ゼロデイ攻撃に対する周到な対策が行われてた事例です。
2020年「三菱電機株式会社」
三菱電機株式会社では、ゼロデイ攻撃によって8,000人以上の個人情報が流失する事件が起こりました。個人情報だけでなく、技術資料などの機密情報も流出してしまった可能性があり、流出したファイル量は200MBに上ると予想されています。このゼロデイ攻撃は、三菱電機株式会社が利用していたウイルス対策ソフトの脆弱性を狙ったものであり、攻撃時にログも消されてしまったため、攻撃の詳細把握に時間を要しました。大企業のセキュリティ対策でも、ゼロデイ攻撃によって甚大な被害を受けてしまう事例です。
ゼロデイ攻撃の対策は難しいとされる理由
大企業を狙ったゼロデイ攻撃の事例から、大企業のセキュリティ対策を持ってしてもゼロデイ攻撃を防ぐのは困難であることがわかります。ゼロデイ攻撃は、なぜ大企業のセキュリティを突破できるのでしょうか。ここからは、ゼロデイ攻撃の対策が難しいとされる理由について解説します。
新たな脆弱性をついた攻撃や未知の攻撃に対応できない可能性が大きい
ゼロデイ攻撃は対策されていない脆弱性を狙った攻撃であるため、事前対策が困難です。セキュリティソフトは過去のマルウェアの情報をベースに作られるため、全く新しいタイプの攻撃を防ぐことはほぼ不可能です。また、ゼロデイ攻撃が判明してから対策パッチがリリースされるまでには、数カ月間の製作期間を要します。そのため、対策パッチのリリースまでに、新たなサイバー攻撃が行われる可能性もあります。
企業は24時間体制で対応ができない
ゼロデイ攻撃を仕掛けるハッカーは、昼夜を問わずサイバー攻撃をしかけます。しかし、企業は24時間体制で対応できないため、ゼロデイ攻撃に対応できない時間帯が生まれてしまいます。そのため、企業が対応できない営業時間外にゼロデイ攻撃が行われると、大企業のセキュリティ対策であっても容易に突破が可能です。
ゼロデイ攻撃の主な対策方法
先述したように、ゼロデイ攻撃の対策は非常に困難です。しかし、ゼロデイ攻撃のリスクを最大限抑えるための対策は行なえます。ゼロデイ攻撃の主な対策方法は、以下のとおりです。
- 最新のOSTにアップデートする
- EDR製品の導入
- サンドボックスの導入
- MDM(モバイルデバイス管理)の導入
- 脆弱性診断で現状に問題がないか確認する
ここからは、それぞれの対策方法について詳しく解説します。
最新のOSにアップデートする
最新のOSにアップデートすることで、ゼロデイ攻撃のリスクを抑えられる可能性があります。2022年9月にリリースされたGoogle Chromeの最新OSでは、ゼロデイ脆弱性の対策が施されています。最新のOSににアップデートすることで、既知の脆弱性を狙ったサイバー攻撃の対策が可能です。
EDR製品の導入
EDR(Endpoint Detection and Response)製品を導入することで、ゼロデイ攻撃の被害を最小限に抑えられます。EDR製品はデバイスのログを取得するものであり、ゼロデイ攻撃そのものは防げません。しかし、エンドポイントの状態を常に監視し、不審な動きをいち早く察知することはゼロデイ攻撃に対抗する上で重要です。EDR製品の利用によって、ゼロデイ攻撃の被害が深刻になる前に対応できます。
サンドボックスの導入
サンドボックスを導入すると、一部のゼロデイ攻撃を対策できます。サンドボックスとは、マルウェアなどの分析を行えるツールが導入された仮想空間です。不正プログラムの恐れがあるデータをサンドボックスで解析することで、普段利用しているシステムに被害を与えずに、添付ファイルのマルウェア検出などを行えます。そのため、メールの添付ファイルなどを利用した標的型ゼロデイ攻撃であれば、サンドボックスの導入で対抗可能です。
MDM(モバイルデバイス管理)の導入
MDM(モバイルデバイス管理)を導入すると、ゼロデイ攻撃によるデータ削除を防げます。MDMとは、企業で利用されるスマートフォンやタブレットなどを、一元的に管理・運用するソフトウェアです。企業がモバイルデバイスで業務を行う上で、MDMの利用は必須になりつつあります。しかし、MDMの導入によって、モバイルデバイスの紛失や盗難、フリーWi-Fiへの接続によるマルウェア感染、デバイス利用者のなりすましなどの新たな問題が発生する可能性があります。MDMを導入する際は、MDMの利用で生じるリスクを把握しておきましょう。
脆弱性診断で現状に問題がないか確認する
脆弱性診断で現状に問題がないことを確認することは、ゼロデイ攻撃による被害の深刻化防止につながります。デバイス自体に脆弱性がある場合、どれだけ強いセキュリティを施していても、ゼロデイ攻撃で甚大な被害を被ってしまう恐れがあります。ゼロデイ攻撃に対する完全な対策は、現状不可能です。セキュリティ体制を万全にした上で、脆弱性診断でデバイスの状態を定期的に確認するようにしましょう。
まとめ
本記事ではゼロデイ攻撃の概要や事例、ゼロデイ攻撃の対策方法について解説しました。ゼロデイ攻撃は防ぐのが難しい上に、深刻な被害を生みやすいサイバー攻撃です。しかし、ゼロデイ攻撃の被害を最小限に抑えることはできます。本記事を参考に、ゼロデイ攻撃を想定したセキュリティ強化を行いましょう。
【セキュリティソリューションのご紹介】
Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
https://secureknight.jp/
またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。
ご相談は無料ですので、いつでもお気軽にお問い合わせください。
問い合わせフォーム
https://librus.co.jp/contact
資料請求
https://tayori.com/form/bcca83c49d8fd253395a909cb8cfcb899d32af72/