ゼロデイ攻撃とは?発生する原因と攻撃・被害の例から対策まで解説
ゼロデイ攻撃は、脆弱性が発見されたその日のうち、あるいは対策法が確立される前に攻撃する手法を指します。まだ、誰も対策法を把握していないため、被害が大きくなりやすいことが特徴です。今回はゼロデイ攻撃が発生する原因や攻撃の概要、被害の具体例などを解説します。
ゼロデイ攻撃とは
ゼロデイ攻撃は、OSやアプリケーションなどの脆弱性を悪用し、情報の窃取や改ざんなどを実現しようとする攻撃です。脆弱性が発見されてから対策が確立されるまでに実行されるため「ゼロデイ(Zero Day)」と呼ばれます。一般的に、脆弱性はOSやソフトウェアを開発している企業でなければ修復が難しく、攻撃されていても対処できないことが特徴です。
攻撃を受けやすい企業の特徴と原因
ゼロデイ攻撃が発生する原因は、企業などが脆弱性を含めたまま、製品を公開してしまうことにあります。攻撃者は、何かしらの脆弱性が存在しないかを常に調査し、もし該当するものを見つけると、攻撃を開始する流れです。実際に攻撃を受けやすい企業としては以下が考えられます。
- 製品の導入事例などに掲載があり導入していることが明確である
- 有名企業であり、攻撃されることで大きな損失を被る
ゼロデイ攻撃は増加傾向にある
【引用】情報セキュリティ10大脅威 2023 IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2023」によると、ゼロデイ攻撃による脅威は2022年の7位から6位へとランクアップしています。この背景には、ゼロデイ攻撃の増加などが挙げられていて、各々が危険性を認識しなければならない状況です。増加傾向であることを踏まえ、可能な限りの対策と万が一の行動を確立することが求められます。
ゼロデイ攻撃の具体例
ゼロデイ攻撃にはいくつもの種類があり、その具体例は以下のとおりです。
- 攻撃を含むメールの送信
- サプライチェーン攻撃
- OSやアプリケーションの脆弱性を悪用
- Webサイトやサーバの脆弱性につけ込んだ改ざん
- 各種アプリケーションの脆弱性へ攻撃
具体例についてご説明いたします。
攻撃を含むメールの送信
脆弱性を攻撃するためのメールが送られてくることがあります。そこに添付されているファイルを開いたり、リンクをクリックしたりすることで、攻撃されてしまう仕組みです。基本的に、メールを受信しただけでは問題にならず、誤った行動をとってしまうことで問題が発生します。
ゼロデイ攻撃では、不特定多数にこのようなメールが送付される可能性があります。攻撃者は相手を選んでおらず、明らかにタイトルや内容がおかしいメールも多いです。
サプライチェーン攻撃
ソフトウェアを開発する企業や販売する企業のパソコンやサーバーなどを攻撃し、製品にマルウェアを組み込むものです。脆弱性へ対処される前に感染させておき、その状態で製品を販売してもらいます。
そうすることで、製品のインストール時に、マルウェアも同時にインストールしてもらえる仕組みです。ただし、ゼロデイ攻撃で製品が改ざんされたかどうかは、多くの場合で出荷前に検知されるようになっています。
OSやアプリケーションの脆弱性を悪用
OSやアプリケーションの脆弱性が発見され、その修正前に攻撃する手法です。パソコン内部に侵入し、データを盗み出そうとしたり、異常な負荷をかけてパソコンを停止させようとしたりします。これらの脆弱性を狙った攻撃には、愉快犯のようなものが含まれると考えましょう。
なお、OSやアプリケーションに脆弱性があっても、セキュリティソリューションが揃っていれば、ゼロデイ攻撃を防ぎやすくなります。どのような製品でも脆弱性が含まれる可能性はあるため、セキュリティソリューションを組み合わせて、万が一に備えるべきです。
Webサイトやサーバの脆弱性につけ込んだ改ざん
脆弱性を利用してWebサーバーに侵入し、内容を改ざんする攻撃です。また、改ざんするだけではなく、詐欺サイトに誘導したり不正なプログラムをダウンロードさせたりすることも含みます。
なお、ゼロデイ攻撃で内容が改ざんされた場合、Webサイトの管理者が修正するまで状況は改善されません。
各種アプリケーションの脆弱性へ攻撃
各種アプリケーションに脆弱性が残っている場合、それを悪用した攻撃があります。例えば、WordやExcelなどに脆弱性があると、これらのファイルに不正なプログラムを埋め込み、強制的に実行させるなどです。
本来は実行されないプログラムでも、脆弱性があることで意図せず実行されてしまいます。マルウェアが含まれている場合、そこからさらに別の問題が生じるかもしれません。
ゼロデイ攻撃を受けた際に行うべき2つのこと
ゼロデイ攻撃を受けたと検知できたならば、少なくとも以下を行うべきです。
- デバイスをネットワークから切り離す
- セキュリティ担当者に連絡する
詳細を解説いたします。
デバイスをネットワークから切り離す
攻撃を受けたデバイスは、ネットワークから切り離すようにしましょう。解説したように、攻撃によって何かしらのマルウェアに感染している可能性があります。
その状態でネットワークに接続していると、別のデバイスにマルウェアが広がることになりかねません。内部ネットワークからもインターネットからも切り離してから、パソコンの状態を確認するようにしましょう。
セキュリティ担当者に連絡する
セキュリティ担当者と連携し、指示に従って行動しなければなりません。ゼロデイ攻撃は、その内容によってやるべきことが異なります。そのため、個人で行動するのではなく、専門の担当者から的確な指示を受けて行動しましょう。
なお、連携はできるだけ早く済ませるべきです。自分以外にもゼロデイ攻撃を受けている可能性があるため、素早く連携しておくことで、問題の解決に向けていち早く行動を起こせます。
ゼロデイ攻撃を受けることによって発生しうる被害
続いて、ゼロデイ攻撃によって、発生しうる被害は下記の通りです。
- マルウェアへの感染
- 不正アクセスや情報漏洩
- 社会的信用力の失墜
- 各種コストの負担
- システム・サービスの中断
発生しうる被害をご説明いたします。
マルウェアへの感染
ゼロデイ攻撃によって、マルウェアに感染してしまう被害が考えられます。攻撃者によってマルウェアが配置されることもあれば、改ざんされたサイトなどにアクセスすることで、マルウェアをダウンロードしてしまうこともあるでしょう。攻撃による代表的な被害です。
また、マルウェアに感染するとセキュリティが下がり、別のマルウェアにも感染する可能性があります。連鎖的にマルウェアへ感染し、さらなる被害を生み出すかもしれません。
不正アクセスや情報漏洩
攻撃の結果、外部から不正にアクセスされる被害が生じる可能性があります。不正にアクセスされると、データを改ざんされるなど、二次的な被害が発生するでしょう。
また、外部からアクセスされることで、情報漏洩が発生するかもしれません。機密情報や個人情報などが漏洩すると、社会的な問題に発展することも考えられます。漏洩した情報を回収することは難しく、被害は中長期におよびかねません。
社会的信用力の失墜
ゼロデイ攻撃によって、システムが停止したり情報漏洩が発生したりすると、社会的信用力の失墜を招きます。近年は、このような事象に対して厳しく評価される傾向にあるため、信用力の失墜は免れないと考えるべきです。
もちろん、ゼロデイ攻撃は対策が難しく、被害の発生はやむを得ない部分があります。ただし、その点について世間の理解を得ることは難しく、システムが停止したり情報が漏洩したりした事実だけが、厳しく指摘されると捉えるべきです。
各種コストの負担
攻撃によってトラブルが生じることで、さまざまなコストも生じてしまいます。
例えば、パソコンやサーバーを復旧させるために、専門家に調査や修理を依頼しなければなりません。対象となる台数が多いと、予想外に高額な出費を被ることになるでしょう。また、攻撃によってシステムが停止したならば、それに対する補償などが発生するかもしれません。
加えて、金銭的なコストだけではなく、人的なコストも生じることが考えられます。トラブルにおける対応は、多くの人を必要とするため、人件費の面でも大きな負担を被ることになるはずです。
システム・サービスの中断
ゼロデイ攻撃を受けた状態では、簡単にシステムやサービスを復旧できません。プログラムが改ざんされていないかなどを調査し、全て問題ないと判断してから改めて公開します。規模の大きなシステムやサービスならば、調査に長時間を要するでしょう。
また、何かしらの改ざんがあると、それらを修正してテストなどを実施しなければなりません。さらに中断の期間が長くなり、多方面に影響を与えてしまいます。
可能な限りゼロデイ攻撃を防ぐために行うべき4つの対策
ゼロデイ攻撃は、今までに検知されていない脆弱性を攻撃するため、防御が難しいものではあります。可能な限り防ぐためにも、以下の対策を採用しましょう。
- アクセス制御
- EDRなどを活用したエンドポイント制御
- WAFの活用
- サンドボックスの導入
対策の詳細を順に解説いたします。
アクセス制御
サーバーなどにアクセス制御を設定しておくことで、ゼロデイ攻撃を防ぎやすくなります。特に、海外から攻撃されるケースが多いため、海外からのアクセスを制御すると効果を発揮しやすいです。
ただし、アクセス制御を適切に設定しなければ、接続を許可しなければならない人も接続できないという状況になりかねません。設定ミスが生じやすい部分でもあるため、慎重に対応しなければなりません。
EDRなどを活用したエンドポイント制御
EDR(Endpoint Detection and Response)など、ネットワークに接続されたエンドポイントの監視や制御が求められます。こちらの対策は、ゼロデイ攻撃を未然に防ぐのではなく、攻撃を受けた場合の被害を最小限に抑える方法です。
例えば、EDRはエンドポイントの使用状況や通信内容など常に監視して、不正な動きがないかを検知できます。ゼロデイ攻撃により、ランサムウェアなどに感染すると不正な動きが発生するため、これを検知できる仕組みです。素早く検知して、それを管理者に通知したり通信を遮断したりすることで、攻撃による被害を最小限に抑えられます。
WAFの活用
Webサーバーの場合、外部からの通信を制御するためにWAF(Web Application Firewall)を導入することも考えましょう。これは、Webアプリケーションの脆弱性を悪用した攻撃を防ぐためのツールです。Webサーバーへのゼロデイ攻撃を防ぐものだと捉えるようにしてください。
特に、近年はAIを組み合わせたWAFが提供されていて、不審な通信などを自動的に学習し、遮断できるようになっています。管理者がこまめに設定する必要がなくなり、ゼロデイ攻撃のような迅速な対応が求められる攻撃にも、対処しやすくなっています。
サンドボックスの導入
サンドボックス環境は、プログラムを実行するための仮想環境です。この環境は、外部からのアクセスが制御されているため、基本的にゼロデイ攻撃の対象とはなりません。
ファイアウォールやWAFなどのセキュリティソリューションが揃った環境とイメージすればわかりやすいでしょう。攻撃者から隔離されているため、攻撃によりシステムが停止したりデータが漏洩したりする可能性は非常に低くなっています。
ゼロデイ攻撃に耐えうる環境構築ならばPCホスピタルへご相談ください
ゼロデイ攻撃は、脆弱性が対処されるまでに攻撃が実施されるものです。脆弱性が発見された日に攻撃が開始されるため「ゼロデイ」と呼ばれます。脆弱性への対処には少々時間を要するため、その間に被害を受けかねません。また、今までに発見されていない脆弱性であり、防御が難しいという特徴があります。
ただし、絶対に防げない内容ではなく、適切なセキュリティソリューションを導入することで防御が可能です。
一括して安全なITインフラ環境を構築したいならば、PCホスピタルへご相談ください。
PCホスピタルでは、セキュリティ対策ソフトウェアやファイアウォール、UTMなど幅広いサービスを提供しています。ゼロデイ攻撃を可能な限り防ぐためのサポートができるため、ぜひお問い合わせください。
