ゼロデイ攻撃とは? 仕組みや手段から被害、対策まで基本を広く解説
ぜい弱性が発見された直後の、まだ対策方法が確立する前に行われる「ゼロデイ攻撃」。今回はゼロデイ攻撃について解説するとともに、攻撃の種類や手段、被害例、そしてゼロデイ攻撃に備えるために有効な対策も紹介しますので、是非参考にしてください。
- 目次
ゼロデイ攻撃とは
「ゼロデイ攻撃」はOS、ソフトウェア、サーバーアプリケーションなどのぜい弱性(バグ)を悪用したサイバー攻撃の一種です。「ゼロデイ」は「0日目」の意味で、ぜい弱性が発見された直後の、まだ修正パッチ公開などの対策方法が確立する前に攻撃が行われることからこの名が付きました。
攻撃には未知のぜい弱性が利用されていることに加え、詳細な情報の入手も困難であり、さらにぜい弱性を解消することも困難であることから、大きな脅威となることが多いとされています。
ゼロデイ攻撃が起こる仕組み
ゼロデイ攻撃は、まず悪意を持った攻撃者がぜい弱性の存在に気付くところから始まります。続いて、そのぜい弱性を悪用した不正なプログラムを開発し、拡散するといった仕組みです。
一連の動きはOSなどのベンダーやセキュリティ対策企業などがそのぜい弱性に気づかない、または対策が完了する前に行われるため、ぜい弱性が修正されるまでの間、多くのコンピューターは無防備のまま攻撃にさらされてしまいます。
ゼロデイ攻撃を理解する必要性
「ゼロデイ攻撃」はぜい弱性の発見から実際に攻撃を行うまでの間隔の短さから名付けられた名称であり、具体的な攻撃内容はほかのサイバー攻撃と同様、多岐にわたります。場合によっては事業の継続や業績に大きな影響を与えるような被害を受ける危険性もあります。そのため、事前にゼロデイ攻撃について理解を含め、万一攻撃を受けた場合に備えておく必要があります。
特に危険なのは「うちはOS、ソフトウェア、セキュリティ対策ソフトとも常に最新の状態を保っている。ぜい弱性は修正されているはずだから大丈夫」という考え方です。「対策方法が確立する前に攻撃が行われる」というゼロデイ攻撃の特徴 を踏まえて常に一定の危機感を抱いていないと、実際に攻撃を受けた際に大きな被害につながる危険性があります。
ゼロデイ攻撃の種類
ゼロデイ攻撃は、攻撃の対象により大きく「ばらまき型攻撃」と「標的型攻撃」の2種類に分けることができます。
ばらまき型攻撃
「ばらまき型攻撃」は、不特定多数を対象とした攻撃です。不特定多数に向けてメールを送信したり、不正なWebサイトに誘導したりして攻撃・拡散を謀ります。
標的型攻撃
対して「標的型攻撃」は、特定の企業や組織、または人物を対象とした攻撃です。こちらもメールやWebサイトを媒介して攻撃を謀りますが、メールの場合には、受信者の取引先を装ってウイルス付きのメールを送信してくるなど、ばらまき型攻撃と比較して手口がより巧妙となっています。
ゼロデイ攻撃の手段
メールやURLなどを媒介し、具体的には次のような手段で攻撃が行われます。
マルウェア感染
不審な添付ファイルを不用意に開封したり、悪意のあるWebサイトを訪問したりすると、ランサムウェアやスパイウェアなどのマルウェアが自動的にインストールされてしまう危険性があります。
通常ではウイルス対策ソフトウェアなどで感染を未然に防ぐことが可能ですが、ゼロデイ攻撃では既知のマルウェアと異なる動作原理を持つため、パターン(シグネチャー)によりマルウェアを認識するウイルス対策ソフトでは対策が難しいという問題があります。
マルウェアの詳細については、「マルウェアの脅威とは?スマホ・PCが感染した時の対処と対策方法」を参照してください。
不正アクセス
同じように、添付ファイルの開封やWebサイトへのアクセス、またはネットワーク機器などへの直接攻撃により、社内の機器やシステム、ネットワークなどに不正にアクセスされてしまう危険性もあります。
後述するように機器に保存されている情報そのものの剽窃(ひょうせつ)を狙う場合もありますが、さらにWebサイトの改ざんやマルウェア感染などの被害に波及することも考えられます。
不正アクセスの詳細については、「【事例あり】不正アクセスとは?手口や被害・対策を紹介」を参照してください。
ゼロデイ攻撃により発生し得る被害例
マルウェア感染や不正アクセスにより、例えば次のような被害が生じることが考えられます。
情報の漏えい
スパイウェアなどのマルウェア、または不正アクセスにより、機密情報や認証情報、個人情報などといった企業が管理している情報が漏えいする被害を受ける危険性があります。
ある電機メーカーは、セキュリティシステムのぜい弱性を狙った、標的型と推測されるゼロデイ攻撃を受けました。結果として百数十台の端末へのマルウェア感染を確認。同社は数ヶ月におよぶ追跡調査とセキュリティ体制の強化を余儀なくされました。
金銭の要求
業務データを暗号化して使用不能とした上で、復旧方法を教える代わりに身代金を要求する「ランサムウェア」を仕込まれる危険性もあります。被害を受けると復旧までに約1ヶ月間、また億単位の復旧コストが必要となる場合もあり、事業への影響は大きいといえます。
米国のあるメーカーのIT管理ソフトウェアにぜい弱性があったケースでは、同ソフトウェアを利用している企業がランサムウェアに感染するという事態が発生しました。一説によれば1,500社以上が被害を受け、1社あたり数千万ドルの身代金を要求されたともいわれています。
攻撃の拡大
ゼロデイ攻撃によりコンピューターが乗っ取られる可能性もあります。乗っ取り自体も被害といえますが、乗っ取られたコンピューターがさらなる攻撃に使用され、被害を拡大する危険性もあります。
あるサーバーOSにぜい弱性が見つかり、遠隔地からのゼロデイ攻撃により遠隔地からの操作が可能となったケースでは、乗っ取られたマシンにより政府組織やセキュリティ対策企業にDDoS攻撃が仕掛けられるなど大きな騒ぎとなりました。
ゼロデイ攻撃のパターン
ゼロデイ攻撃について、いくつか典型的なパターンを挙げて詳しく見てみましょう。
OSに関連する攻撃
現代ではOSは巨大なプログラムとなりました。OSの種類を問わず、ぜい弱性を解消するパッチや更新プログラムは定期的に公開されていますが、ゼロデイ攻撃も発生しています。コンピューターに処理能力を超えるデータを送り付ける「バッファオーバーフロー」、WebサーバーへのリクエストにOSへのコマンド(命令文)を紛れ込ませる「OSコマンドインジェクション」などが一例です。OSには広範な機能があり、世界中で幅広く使用されていますから、ゼロデイ攻撃による影響は大規模なものになりがちです。
Webブラウザーに関連する攻撃
日常的に利用するWebブラウザーのぜい弱性にも気を付けるべきです。昨今はWebブラウザーも高機能化されていますので、Webブラウザー上で不正なプログラムを動作させたり、拡張機能を装って不正なプログラムのインストールを促したりするケースも報告されています。さらに、標的型メールなどと組み合わせ、特定のURLにアクセスさせるなどといった攻撃も確認されています。
ゼロデイ攻撃に備える対策
では、ゼロデイ攻撃にはどのような対策が有効なのでしょうか。主なものを3点紹介します。
基本的なセキュリティ対策の実施
ほぼすべてのサイバー攻撃に共通した対策ですが、ゼロデイ攻撃に関しても「セキュリティ対策ソフトを導入する」「OSやソフトウェアなどをこまめにアップデートし最新の状態へ保つ」といった対策が有効です。
これらの対策によりゼロデイ攻撃を防ぐことは困難ですが、パッチ公開後の攻撃を防ぐことはできますし、また万一攻撃を受けた場合にも付随する攻撃を防止し被害を最小限に留められる可能性があります。
サンドボックスの構築
「サンドボックス」は、隔離された仮想空間を構築し、内部でのソフトウェアの動作を外部から観察できるような仕組みです。サンドボックスを利用すれば、不審なファイルなどの安全性をテストしたり解析したりすることができます。
また、実際に動作させることで、セキュリティ対策ソフトでは検出できなかったマルウェアにも対応できる可能性があります。
EDRの導入
「EDR(Endpoint Detection and Response、エンドポイント検出対応)」は、エンドポイント(端末)の挙動を監視し、脅威を検知・対処する仕組み・ツールです。
これまで紹介した2点は「ゼロデイ攻撃を未然に防ぐ」ことに軸足を置いていましたが、EDRは攻撃後の対策に軸足を置いています。具体的には、エンドポイントの使用状況や通信内容などの情報をリアルタイムで分析することで、異常をすばやく検知し対応することで、被害を抑えることができます。
EDRの詳細については、「EPP・EDRとは?エンドポイント対策の必要性や仕組みについて解説」を参照してください。
NTTPCコミュニケーションズのネットワーク×セキュリティサービス「Secure Access Gateway」
NTTPCの「Secure Access Gateway」は、SASE(Secure Access Service Edge、サシー)のコンセプトにもとづき、ネットワーク機能とセキュリティ機能とを一元的に提供するサービスです。安全・安心・快適なネットワーク環境を実現する数々のシステムを備えています。
DNSセキュリティ(Cisco Umbrella:DNS Security Essentials)は、DNSの名前解決を利用してインターネット上の脅威からユーザーを防御するサービスです。マルウェア感染リスクのある不正なサイトへのアクセスを遮断できるため、ゼロデイ攻撃による被害を防止することができます。
セキュアWebゲートウェイ(Cisco Umbrella: SIG Essentials)は、端末にエージェントソフトをインストールすることで、オフィス、自宅などの場所を問わず、安全にインターネットを利用することができるサービスです。「SSLインスペクション」機能により暗号化されたHTTPS通信に対してもマルウェア検知が可能なため、ゼロデイ攻撃による被害を防止することができます。
DNSセキュリティは月額550円(税込) / ユーザーから、セキュアWebゲートウェイは月額880円(税込) / ユーザーから利用可能。まずはお気軽にお問い合わせください。
まとめ
今回はゼロデイ攻撃について、ぜい弱性が発見された直後のまだ修正パッチ公開などの対策方法が確立する前に攻撃が行われること、対策が完了する前に行われるため危険性が高いこと、そのためゼロデイ攻撃について事前に理解を深めておくことが重要であることを説明しました。
また、ゼロデイ攻撃は攻撃の対象により大きく「ばらまき型攻撃」と「標的型攻撃」の2種類に分けることができること、攻撃手段として「マルウェア感染」「不正アクセス」などがあることも解説しました。
実際にゼロデイ攻撃を受けた場合、情報の漏えい、金銭の要求、攻撃の拡大などの被害を受ける危険性があります。ゼロデイ攻撃の対象はOS、Webブラウザーなど多岐にわたりますので、基本的なセキュリティ対策の実施に加え、サンドボックスの構築、EDRの導入など、必要な措置を講じておきましょう。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
