ゼロデイ攻撃の特徴とリスクとは? 最も危険な脆弱性攻撃をどう防ぐか
2024年3月25日掲載
ゼロデイ攻撃とは、まだ公開されていない脆弱性、またはまだ修正プログラムが公開されていない脆弱性を突いた攻撃です。未然に防ぐことが困難なため、大きな被害をもたらすことがあります。
しかし、いくつかのセキュリティ対策を行うことで、ゼロデイ攻撃に対してもある程度被害リスクを下げることが可能です。
ここではゼロデイ攻撃の概要や事例、そのリスクや対策を紹介します。
本記事を監修いただいた方のご紹介
ゼロデイ攻撃とは
ゼロデイ攻撃とは、まだ対策が行われていないソフトウェアやシステムの脆弱性(セキュリティ上の欠陥)を突いた攻撃のことです。
通常、修正プログラムが発表された日を1日目(ワンデイ)と数えます。ゼロデイ攻撃とは、1日目の前(ゼロデイ)に起こる攻撃、ということです。
ゼロデイ攻撃には、次の2種類があります。
・未知の脆弱性を突いた攻撃
ベンダも脆弱性の存在に気づいておらず、脆弱性についての報道もされていないものへの攻撃。まだ存在を知る人がほとんどいないため、サイバー攻撃を受けても気付きにくい状態です。
もちろん、修正プログラムも存在しません。
・既知の脆弱性を突いた攻撃
脆弱性に関する情報や解析済みの攻撃コードを利用して攻撃を行います。ベンダから修正プログラムが公開されていない状況で攻撃が行われるため、効果的な対策をとることは困難です。
ゼロデイ攻撃はなぜ増加しているのか
最近はクラウドサービスの普及やテレワークの推進によって、攻撃の対象となるデバイスが多様化しています。しかし、セキュリティツールの進歩により、既知の脆弱性を突いた攻撃の多くは防ぐことができるようになりました。
一方で、まだ対策のできていない脆弱性を突いたゼロデイ攻撃が増えているのです。
独立行政法人 情報処理推進機構(IPA)では、毎年「情報セキュリティ10大脅威」を発表しています。最新版の「情報セキュリティ10大脅威 2024」では、組織に対する脅威で「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が5位です。2022年は7位、2023年は6位となっており、ゼロデイ攻撃の被害は年々増加しつつあると言えます。
![情報セキュリティ10大脅威2024 [組織]](./media_159f5bd0d4930115502d4dedd7d8485fa3593b4e1.jpg?width=750&format=jpg&optimize=medium)
ゼロデイ攻撃のリスク
では、ゼロデイ攻撃を受けることで、どのような損害やリスクがあるのでしょうか。
- 情報漏えい
社内ネットワークに侵入され、組織が保有する個人情報や機密情報が外部に漏えいします。
▶関連記事:情報漏えいのリスク。外部犯・内部犯・誤った認識…それぞれ異なる危険性とは
- マルウェア感染
脆弱性を突かれ、マルウェアの侵入を許してしまいます。マルウェアに感染することで、デバイスが乗っ取られ、あらゆるサイバー攻撃の踏み台として使われるため、ほかのネットワークにも攻撃を拡げる可能性があります。
- 不正アクセス・なりすまし
IDやパスワードなどの認証情報が窃取され、さまざまなシステムに侵入されます。そこから情報漏えい・改ざん・破棄が行われたり、ほかのネットワークへの二次被害を引き起こします。
- サプライチェーン攻撃
ある企業へのゼロデイ攻撃を起点に、ネットワーク環境がつながっているグループ企業や取引先に攻撃が拡大していくサイバー攻撃です。サプライチェーン(供給網)を使うことでセキュリティレベルの高い企業への攻撃が可能になる手法です。
- システムダウン
サーバやシステムがダウンさせられ、企業の事業を停止させられるだけでなく、グループ企業全体まで業務が停止する恐れもあります。
- 身代金の要求(ランサムウェア攻撃)
ランサムウェア攻撃として知られるものです。暗号化などによってファイルを利用不可能な状態にした上で、そのファイルをもとに戻すことと引き換えに金銭を要求されます。
- 取引先への賠償金
機密情報が漏えいした場合、取引先に対する賠償金が必要になり、財務面での損失を被る可能性があります。
- 法的責任を負う
サイバー攻撃を防げなかった場合、個人情報保護法やその他の規制に違反しているとされれば、提訴されたり、罰金や制裁を受けたりすることもあります。
- 社会的信用の低下・取引停止
サイバー攻撃を受けることで企業としての信頼度が低下し、経営状態に悪影響を及ぼすことも少なくありません。また、セキュリティ対策が万全になるまで、取引先から取引停止等の措置を受けることも考えられます。
ゼロデイ攻撃はどのような攻撃を行うのか
ゼロデイ攻撃にはどんなものがあるのか、事例を交えて紹介します。
VPN機器の脆弱性を突いた不正アクセス
近年増加しているのが、VPN機器の脆弱性を悪用したゼロデイ攻撃です。
VPNはテレワークの環境構築にも使われるため、自宅の端末への攻撃を介して社内ネットワークに侵入されるケースが増えており、大きな被害をもたらしています。攻撃者はまずVPNの脆弱性を利用して攻撃し、端末から社内ネットワークに侵入します。その後、情報漏えいなどの被害が発生します。
特に多いのがランサムウェアとの組み合わせで、不正アクセスからデータの暗号化、破壊が行われ、身代金を要求されるパターンが見られます。実際、近年のランサムウェア攻撃の半数以上はVPN機器の脆弱性を入り口にしたものです。
- 事例:行政組織
VPN機器の脆弱性を悪用して第三者が何らかの方法でパスワードを窃取。その結果、業務に必要な物品購入専用のノートPCが複数のIPアドレスから計46回もの不正アクセスを受けました。情報漏えいやほかのネットワークへの被害拡大は確認されていなかったものの、被害が判明するまで不正なアクセスは1年以上続いていました。
企業内システムへの不正アクセス
システムを構築するソフトウェアの脆弱性を突いた攻撃でも、多くの個人情報や機密情報が漏えいしています。
システムだけでなく、OSやアプリケーション、ミドルウェア、ハードウェアのファームウェアなど、さまざまなソフトウェアの脆弱性を悪用する傾向があります。
- 事例:国内電機メーカ
同社のウイルス対策管理サーバが、未公開の脆弱性を突いたゼロデイ攻撃を受けてマルウェアに感染。感染によって外部にデータを送信した痕跡が見つかりました。攻撃者によって監視や検知をすり抜けるようになっていただけでなく、一部の端末では送信されたファイルを特定するためのログ(操作記録)が消去されているなど、調査を遅らせる高度な手法がとられていました。そのため、不審な挙動を検知してから不正アクセスの公表まで約6ヵ月以上かかったとされています。また、最大数として約8,000人分の機密情報が流出した可能性があると公表されています。
水飲み場型攻撃
標的組織がよく訪問するWebサイトの脆弱性を突いて改ざんを行い、アクセスしてきた端末にマルウェアを感染させる手法です。不特定多数を狙った攻撃ではなく、普段アクセスしているWebサイトが突然踏み台にされることから、攻撃を受けても気付きにくい特徴があります。
- 事例:政府関連機関
某情報提供サイトに不正なコードが埋め込まれ、特定のIPアドレスや組織ドメインから接続された場合のみマルウェアに感染するように仕組まれていたものです。このWebサイトへは中央省庁の職員がよくアクセスしており、複数機関の端末でマルウェアの感染が確認されました。さらに、感染したマルウェアによって端末を外部から遠隔操作できるといった高度な手口が用いられていたことも発覚しました。
ゼロデイ攻撃への対策
ゼロデイ攻撃を受けても被害を最小限にとどめるためには、次のような対策が必要です。
基本的なセキュリティ対策の実施
ほかのサイバー攻撃と同じように、基本的なセキュリティ対策を徹底します。例えば、次のようなものです。
- OSやソフトウェアを常に最新に保つ
ソフトウェア更新や修正プログラムの適用によりOSやソフトウェアを最新の状態に保つことで、ゼロデイになる期間を極力短くすることができます。
- サポート切れのOSやソフトウェアは使わない
サポート切れになると、脆弱性が発見されても修正プログラムは配布されず、常にゼロデイ攻撃のリスクにさらされてしまうことを意味します。
- 適切なアクセス制御を行う
アクセス権限を持つユーザを絞ることで、ゼロデイ攻撃以外のサイバー攻撃者からの侵入経路を断ちます。
- 社員へのセキュリティ教育
社員のセキュリティリテラシーを向上させることで、社員端末に対するゼロデイ攻撃のリスクを減らすことができます。
- データの暗号化・隔離
重要な情報を暗号化して容易に読み込めなくします。さらに、外部からアクセスできないよう隔離するとより効果的です。
サンドボックスの構築
サンドボックスとは、アプリケーションやプログラムを隔離された環境で実行する仕組みや技術です。その環境の中でそこで不審なファイルを開いたり、不審なプログラムを実行します。
それによって、マルウェアに感染したデータを開いたとしても、サンドボックスを越えてほかの場所に感染することがないため被害が拡大することを防ぐことが可能です。
WAFの導入
WAF(Web Application Firewall)は既知の攻撃パターンや異常なトラフィックを監視し、脆弱性を悪用したゼロデイ攻撃を検出・防御します。WAFを導入することで、既知の脆弱性が残る状態を自動的に短くして、WebサイトやWebアプリケーションを守ることがポイントです。
またWebサイトの場合は、セキュリティログから通常のサイトアクセスとは明らかに異なる不審なIPアドレスを検出し、遮断することも手段として有効です。
EDRの導入
EDR(Endpoint Detection and Response)を導入すれば、ソフトウェアの振る舞いにより不審なプログラムやマルウェアを検知できます。
アンチウイルスソフトは既知のマルウェアは防げますが、未知のマルウェアは防げません。
EDRはソフトウェアの振る舞いから攻撃者の動きに近い挙動を発見して通知することで、サイバー攻撃が社内ネットワークで拡散するのを防ぐことが可能です。
▶関連記事:未知のサイバー攻撃からエンドポイントを守る「NGAV」「EDR」とは
ゼロデイ攻撃による脆弱性攻撃の被害をできる限り小さくするためには
ゼロデイ攻撃への対策には、大きな問題点があります。ゼロデイ攻撃には修正プログラムがないため、どのような対策を行えばよいのかが分かりにくいということです。そのため、有効な対策はないと考えて放置しがちになってしまいます。
しかし、ゼロデイ攻撃であっても基本的なセキュリティ対策をきちんと行えば、ある程度防ぐことが可能です。基本的なセキュリティ対策は怠りなく進めておきましょう。
さらにWAFやEDRを導入することで、ゼロデイ攻撃による被害を小さくできます。特にゼロデイ攻撃への対策として、EDRの導入は必須と言えるでしょう。
EDRについては、次の資料で概要や導入検討ポイントをご紹介しています。ぜひ参考にしてください。
資料ダウンロード
関連セミナー・イベント
