ゼロデイ攻撃とは、ベンダーや開発者が気づいていない、潜在的に深刻なソフトウェアのセキュリティ上の弱点を突く攻撃のことです。問題が起きているという認識がない状態で攻撃されるため、ゼロデイ攻撃への対策はますます重要な課題となっています。
この記事では、ゼロデイ攻撃の特徴や仕組み、企業にもたらす脅威、主な対策方法などを解説します。企業のセキュリティ対策やシステム導入の担当者など、セキュリティシステムの強化を検討しているなら、ぜひ参考にしてください。
ゼロデイ攻撃とは
ゼロデイ攻撃は、ほかのサイバー攻撃と何が異なるのでしょうか。最初にゼロデイ攻撃の仕組みや特徴、発生理由などを解説しましょう。
ゼロデイ攻撃の仕組みと特徴
サイバー犯罪者は、OS やアプリケーションなどに存在するバグなどの脆弱性を発見すると攻撃方法を検討し、その脆弱性を利用した不正プログラムの開発を行います。攻撃方法が確立した時に、OS・ソフトウェアの開発メーカーやセキュリティ対策者が、その脆弱性に気づいて対策をしていなければ、犯罪者は攻撃を始めます。これが無防備状態の隙間を狙ったゼロデイ攻撃の仕組みです。
ゼロデイ脆弱性は開発メーカー自身も気づいていないため、対策を講じる前に攻撃されてしまうことから、被害の拡散は避けられません。また、未知の脆弱性を悪用するため対策にも限りがあることから、ゼロデイ攻撃はサイバー攻撃の中でも深刻な脅威とされています。
既存のセキュリティ対策では防げない
基本的にセキュリティ対策製品は既知の脆弱性に対する対策を行います。例えば、脆弱性に対応するIDS/IPS 製品であれば、公表された脆弱性を突く手法やパケットを解析してシグネチャと呼ばれる検知ルールを作ります。このように基本的にセキュリティ対策は事後対応になります。異常な通信や不審な挙動から未知の脆弱性を突く攻撃を検出する仕組みはありますが、高価であったり、既知の脆弱性ほど確実に検知できません。
ゼロデイ攻撃が発生する背景
ゼロデイ攻撃が発生するのは、サイバー犯罪者同士でゼロデイ情報を売買するダークウェブがあるからだとされています。最近の暗号資産の普及に伴い、ダークウェブで取引される情報の市場規模は年々大きくなっています。併せてゼロデイ攻撃の脅威も、ますます増えると考えられています。
ゼロデイ攻撃のリスクと脅威
ゼロデイ攻撃が企業にもたらすリスクと脅威を解説します。
セキュリティが無防備になる
ゼロデイ攻撃は開発ベンダー自身が気づいていない脆弱性のため、確実に検出することは難しく、セキュリティ的に無防備状態が続くことになります。当然、企業自身も気づくことが難しくなります。
攻撃に気づかないことが多ければ犯罪者がいつでも実行できるため、ゼロデイ攻撃はリスクが高い脅威となります。
ゼロデイ攻撃と他のサイバー攻撃の組み合わせで被害が拡大する
ゼロデイ攻撃は未知の脆弱性を突く行為なので、その後のアクションは攻撃者によります。内部に侵入される、管理者権限が奪われる、任意のファイルを設置するなど多様な攻撃パターンが考えられます。標的型攻撃が行われて、個人情報や機密情報を盗まれる、ランサムウェアを仕込まれるなどの脅威も考慮しなくてはなりません。
収益に直接影響することもある
オンラインサービスを提供している場合は、直接収益に影響する可能性も考えられます。ゼロデイ攻撃かどうかにかかわらず不正アクセスの被害があったことを公表することになれば信頼や安心感が崩れ、企業の存続を左右することになりかねません。そのため、重要です。
過去に起きたゼロデイ攻撃の被害事例
ここからは、過去に起きたゼロデイ攻撃の被害事例を紹介します。いずれも修正パッチが公開された後も被害が大きかった事例です。ゼロデイ攻撃は古くからある脅威であり、被害を最小限に抑えるための対策が必須です。
Microsoft Exchange の脆弱性を突いたゼロデイ攻撃(2021年3月)
あるセキュリティベンダーの報告では2021年1月から観測されていた Microsoft Exchange の脆弱性は Web shell と呼ばれる Web を介したバックドアの設置に始まり、ファイルシステムやメールボックスへのアクセスを観測していました。2021年3月にマイクロソフトより修正パッチが出された後も企業側の対応が進まず、米 FBI が米国企業に対して何らかの方法で外部から Web Shell を削除したと発表しました。
Firefox の脆弱性を突いたゼロデイ攻撃(2019年6月)
正しいメールアドレスから送信された大学関係者になりすました標的型攻撃メール(侵入されメールアドレスが不正に作成されていた)と、Firefox の脆弱性を突いたゼロデイ攻撃の組み合わせで、米国の暗号資産取引所 Coinbase が狙われました。未然に阻止していたものの、PC のコントロールが奪われる可能性があったのと仮想通貨取引所の PC が標的だったことから、注目を集めた事例です。
シェルショック脆弱性事件(2014年9月)
「シェルショック事件」は、サーバーとしてよく使われる Linux の bash というコマンドシェルの脆弱性を突いた攻撃です。多くの Linux サーバー利用者がコマンドで遠隔操作をされる危険にさらされ、日本の警察庁も注意を呼びかけたほどの騒ぎとなりました。
ゼロデイ攻撃への対策方法
ゼロデイ攻撃に完全に対処するのは難しいとはいえ、振る舞い検知やエミュレーション、侵入後の活動を捉えることで検知する可能性がぐっと上がります。以下のような多層的な対策を取るようにしましょう。
ベンダーからの対応策を速やかに適用する
ゼロデイ対策ではないですが、OS やソフトウェアの開発者から提供されたパッチを、速やかに適用するようにしましょう。ゼロデイでなくなっても、パッチを当てないとリスクが高い状態に変わりはなく、早急に定期的な対処が必要となります。重大性の高い脆弱性に対してパッチ適用が遅くて被害を受けている企業は多いです。パッチ適用までの間サーバーを保護する IDS/IPS や WAF による脆弱性保護機能も有効です。
サンドボックスを用いて対策する
サンドボックスとは、不審なファイルを安全に実行して検証するための仮想環境のことです。外部とやりとりする通信やファイルを仮想環境内で実際に実行し攻撃を受けることで、未知のマルウェアやゼロデイ攻撃を検出することができます。サンドボックスを導入することで、不審な挙動からゼロデイ攻撃による不正プログラムを検出できる可能性があります。
多層防御でゼロデイ攻撃へ対処する
ゼロデイ攻撃を検知する仕組みとして、IDS/IPS (不正侵入検知・侵入防御システム)によるネットワーク監視や、WAF による Web 通信の監視は不審な通信、例えば、RFC に則らない通信パケットや通常観測されないような異常通信をブロックすることができます。また、通信内の不審なコードを検出して検出するロジックを数多く設けることも有効です。こうした多層の防御により、ゼロデイ攻撃による侵入が機密情報に到達する確率を下げられます。
侵入を前提として EDR を導入して対策する
攻撃させないという対策だけではなく、万が一サイバー攻撃者が侵入した場合に、即座に異常を検知して対処する「EDR(Endpoint Detection and Response)」の導入も検討しましょう。セキュリティ侵害をいち早く検知・可視化することにより、侵害後の対応を迅速化し、被害の最小化につなげられます。不審な認証活動を検出する IAM のセキュリティに基づく MFA 認証、クラウドシステムでの不審な操作を検出する CASB など、いわゆるゼロトラストセキュリティに基づく対策も有効です。
サイバー攻撃者の侵入後の動きはゼロデイ攻撃であっても、そうでなくても大きく変わりません。比較的コストがかかり運用が大変ですが、こうした侵入後の対策を強化するのが有効性が高いです。
まとめ
ゼロデイ攻撃は気づかないことも多く、未知の脆弱性を悪用するためサイバー攻撃の中でも最も深刻な脅威とされています。また、これを導入すれば防げるというものはありません。ゼロデイ攻撃の被害を最小限に留めるには、多層防御や EDR 導入を行い、侵入を前提としたゼロトラストセキュリティを構築することが大切です。
SBテクノロジーではネットワーク、メール、エンドポイント、クラウドを保護するソリューションのほか、脅威インテリジェンス、インシデント対応などの様々なセキュリティサービスに加え、それらのセキュリティ監視を24時間365日実施するマネージドセキュリティサービスを提供しており、お客様の業務環境やシステム環境を安全に保護します。
ゼロデイ攻撃のみならず、リモートワークの定着やクラウド化などでセキュリティ強化を検討しているなら、SBテクノロジーの活用をご検討ください。
