フォーム読み込み中
ゼロデイ攻撃とは、まだ公開されていない脆弱性、またはまだ修正プログラムが公開されていない脆弱性を突いた攻撃です。未然に防ぐことが困難なため、大きな被害をもたらすことがあります。
しかし、いくつかのセキュリティ対策を行うことで、ゼロデイ攻撃に対してもある程度被害リスクを下げることが可能です。
ここではゼロデイ攻撃の概要や事例、そのリスクや対策を紹介します。
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス(特許取得)を提供。業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
ゼロデイ攻撃とは、まだ対策が行われていないソフトウェアやシステムの脆弱性(セキュリティ上の欠陥)を突いた攻撃のことです。
通常、修正プログラムが発表された日を1日目(ワンデイ)と数えます。ゼロデイ攻撃とは、1日目の前(ゼロデイ)に起こる攻撃、ということです。
ゼロデイ攻撃には、次の2種類があります。
いずれにしろ、ゼロデイ攻撃によって、攻撃者は攻撃の成功率を高め、被害を最大化することができます。修正プログラムが展開されるまでにタイムラグが生じ、甚大な被害につながりやすいため、最も危険なサイバー攻撃と呼ばれています。
最近はクラウドサービスの普及やテレワークの推進によって、攻撃の対象となるデバイスが多様化しています。しかし、セキュリティツールの進歩により、既知の脆弱性を突いた攻撃の多くは防ぐことができるようになりました。
一方で、まだ対策のできていない脆弱性を突いたゼロデイ攻撃が増えているのです。
独立行政法人 情報処理推進機構(IPA)では、毎年「情報セキュリティ10大脅威」を発表しています。最新版の「情報セキュリティ10大脅威 2024」では、組織に対する脅威で「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が5位です。2022年は7位、2023年は6位となっており、ゼロデイ攻撃の被害は年々増加しつつあると言えます。
では、ゼロデイ攻撃を受けることで、どのような損害やリスクがあるのでしょうか。
ゼロデイ攻撃にはどんなものがあるのか、事例を交えて紹介します。
近年増加しているのが、VPN機器の脆弱性を悪用したゼロデイ攻撃です。
VPNはテレワークの環境構築にも使われるため、自宅の端末への攻撃を介して社内ネットワークに侵入されるケースが増えており、大きな被害をもたらしています。攻撃者はまずVPNの脆弱性を利用して攻撃し、端末から社内ネットワークに侵入します。その後、情報漏えいなどの被害が発生します。
特に多いのがランサムウェアとの組み合わせで、不正アクセスからデータの暗号化、破壊が行われ、身代金を要求されるパターンが見られます。実際、近年のランサムウェア攻撃の半数以上はVPN機器の脆弱性を入り口にしたものです。
システムを構築するソフトウェアの脆弱性を突いた攻撃でも、多くの個人情報や機密情報が漏えいしています。
システムだけでなく、OSやアプリケーション、ミドルウェア、ハードウェアのファームウェアなど、さまざまなソフトウェアの脆弱性を悪用する傾向があります。
標的組織がよく訪問するWebサイトの脆弱性を突いて改ざんを行い、アクセスしてきた端末にマルウェアを感染させる手法です。不特定多数を狙った攻撃ではなく、普段アクセスしているWebサイトが突然踏み台にされることから、攻撃を受けても気付きにくい特徴があります。
ゼロデイ攻撃を受けても被害を最小限にとどめるためには、次のような対策が必要です。
ほかのサイバー攻撃と同じように、基本的なセキュリティ対策を徹底します。例えば、次のようなものです。
サンドボックスとは、アプリケーションやプログラムを隔離された環境で実行する仕組みや技術です。その環境の中でそこで不審なファイルを開いたり、不審なプログラムを実行します。
それによって、マルウェアに感染したデータを開いたとしても、サンドボックスを越えてほかの場所に感染することがないため被害が拡大することを防ぐことが可能です。
WAF(Web Application Firewall)は既知の攻撃パターンや異常なトラフィックを監視し、脆弱性を悪用したゼロデイ攻撃を検出・防御します。WAFを導入することで、既知の脆弱性が残る状態を自動的に短くして、WebサイトやWebアプリケーションを守ることがポイントです。
またWebサイトの場合は、セキュリティログから通常のサイトアクセスとは明らかに異なる不審なIPアドレスを検出し、遮断することも手段として有効です。
EDR(Endpoint Detection and Response)を導入すれば、ソフトウェアの振る舞いにより不審なプログラムやマルウェアを検知できます。
アンチウイルスソフトは既知のマルウェアは防げますが、未知のマルウェアは防げません。
EDRはソフトウェアの振る舞いから攻撃者の動きに近い挙動を発見して通知することで、サイバー攻撃が社内ネットワークで拡散するのを防ぐことが可能です。
ゼロデイ攻撃への対策には、大きな問題点があります。ゼロデイ攻撃には修正プログラムがないため、どのような対策を行えばよいのかが分かりにくいということです。そのため、有効な対策はないと考えて放置しがちになってしまいます。
しかし、ゼロデイ攻撃であっても基本的なセキュリティ対策をきちんと行えば、ある程度防ぐことが可能です。基本的なセキュリティ対策は怠りなく進めておきましょう。
さらにWAFやEDRを導入することで、ゼロデイ攻撃による被害を小さくできます。特にゼロデイ攻撃への対策として、EDRの導入は必須と言えるでしょう。
EDRについては、次の資料で概要や導入検討ポイントをご紹介しています。ぜひ参考にしてください。
条件に該当するページがございません