Nデイ脆弱性とは?「うちは狙われないだろう」は格好のターゲット。攻撃者の心理とは?
情報システム担当の方とサイバー攻撃やインターネットセキュリティについてお話する際、「うちみたいな会社は狙われないよ」だったり「取られて困るようなものはないしね」というような考えの方がごく稀にいらっしゃいます。
「そんなに名の知れた企業じゃないから」というご謙遜でしょうか。
もし私が泥棒だったら、セキュリティのしっかりした大邸宅よりも、鍵が開けっ放しの古い一軒家を狙います。少額の盗みも何軒も周れば多額に膨らむからです。そしてサイバー攻撃とは、同時刻に膨大なターゲットにリーチする事が出来る犯罪だという事を忘れてはいけません。
はたまた「顧客のカード情報や住所等のデータは扱ってないから」という油断からくる言葉かもしれません。しかし、従業員の個人情報を保持していない企業はありませんし、自社商品の原価がいくらなのか流出しても良いという企業はないですよね。
本記事では、Nデイ脆弱性について解説していきながら、2021年に注意すべきセキュリティ脅威への対策についても触れていきたいと思います。
サイバーセキュリティ対策について改めて意識し直すきっかけになれば幸いです。
Nデイ脆弱性とは
Nデイ脆弱性とは、OS・ミドルウェア・アプリケーションなどの脆弱性が発見されてから、それに対するセキュリティパッチ(修正プログラム)が公表され、エンドユーザがパッチを適用するまでの期間に存在する脆弱性※の事を指します。
※脆弱性については前回の「ゼロデイ攻撃とは?そのリスクと企業がとるべき対策を解説!」の記事で説明しておりますのでご参考下さい。
どんなソフトにも予期せぬ脆弱性が発生します、その為、公開されたセキュリティパッチは可及的早急に適用し、ソフトウェアを最新の状態にして問題点や脆弱性を解決する事が重要です。
Nデイ脆弱性とゼロデイ脆弱性の違いとは
Nデイ脆弱性とゼロデイ脆弱性の違いですが、脆弱性そのものは全く同じものを指します。
エンドユーザから見て、未知の状態、あるいは脆弱性は発見されたもののセキュリティパッチ(修正プログラム)がリリースされていない間は「ゼロデイ脆弱性」、セキュリティパッチがリリースされ、エンドユーザがパッチを適用するまでの間は「Nデイ脆弱性」と呼び名が変わります。
この2つ、ただ呼び名が変わるだけですが、クラッカー(サイバー犯罪者)からすると天地の差があります。
ゼロデイ攻撃が恐れられる所以たるゼロデイ脆弱性は、まだ未知である事がキーになります。
全世界の開発ベンダーに属している優秀なSEが常に製品の脆弱性を模索しては修正プログラムを開発しています。それを掻い潜って未知の脆弱性を見つけ出し、そのセキュリティホールをついてマルウェアを流しこむには、それ相応の労力と時間、スキルを要します。
しかし、Nデイ脆弱性は既知の脆弱性です。早急に対応して欲しいもの程、開発ベンダやIPA(独立行政法人 情報処理推進機構)がWEB上で情報を公開して注意喚起していますので、クラッカーはこの脆弱性に対してまだセキュリティパッチを適用していないターゲットを探し、既に公開されている修正プログラムを解析して攻撃手法を開発するだけで良いのです。
その上、自分にスキルがなくても、既知の脆弱性を悪用した攻撃ツールはアンダーグラウンドで売買されています。
Nデイ脆弱性の注意点と対策
開発ベンダーが修正プログラムの提供を開始しても、エンドユーザがその修正プログラムを適用させるまでには、若干の時間差があるのが現実です。もっと酷いと、利用しているソフトウェアに脆弱性が発見されたことすら知らないまま使っているユーザもいるかもしれません。
しかし、Nデイ攻撃を受けることほど悔しい事はないです。Nデイ脆弱性を放置することは泥棒に合鍵が渡ってしまっている状況で同じ鍵穴を使い続けるのと一緒、間抜けな防犯であることは明白です。
ここまででお分かりの通り、Nデイ脆弱性への対策は、一刻も早くセキュリティパッチを適用することです。また、それが手動であるよりも自動であった方が初速は出ますので、クラウド(SaaS)で提供されているものの方が安心、という考え方も適切でしょう。
2021年に注意すべきセキュリティ脅威への対策
トレンドマイクロ社による「2021年セキュリティ脅威予測」では、「ゼロデイ脆弱性」が注目される一方で、2021年は「Nデイ脆弱性」が重大な懸念を引き起こすと発表しています。コロナ禍によるテレワークの爆発的浸透は、Nデイ脆弱性の宝庫である自宅LANを狙ったサイバー犯罪を助長する側面もあります。バックグラウンドで接続された他のデバイス、 別の企業で働く家族とのコンピュータの共有など、 業務と私生活との線引きが極めて難しくなっている環境下で、企業は社内LANだけではなく従業員の自宅LANにまで視野を広げて対策を練る必要が出てきます。
クラッカーの間で、セキュリティが比較的甘い自宅LANへ侵入し、デバイスを乗っ取り、VPN経由で企業のネットワークに侵入するという攻撃モデルが一般化する日も遠くありません。
また、時勢を代表するキーワードが生まれると、必ずそれに便乗した詐欺メール、スパムメール、フィッシング攻撃が急増します。「新型コロナウイルス」、「ワクチン」、「オリンピック」等、2021年を彩るキーワードは既に存在していて、クラッカーは常にトレンドの影に隠れてセキュリティホールを突いてくると再認識していきましょう。
まとめ
本稿にて、セキュリティホールである脆弱性を放置しておくことのリスクを改めて感じて頂けたでしょうか。Nデイ脆弱性は企業や個人の努力である程度潰していけます。
私の個人的見解ですが、企業や個人が手元で出来る対策を以下に羅列しましたのでご参考下さい。
企業がするべき対策とは
- 社員へサイバーセキュリティ教育の実施(まずはセキュリティ意識の醸成が不可欠)
- 社内システムのNデイ脆弱性を放置しない為のパッチ管理の見直し
- 二段階認証の検討
- SOC(Security Operation Center)の設置、または外部委託
個人がするべき対策とは
- ID/パスワードを使いまわさない
- 購入時の初期パスワードのまま使わない(安直なパスワードで設定しない)
- 自宅のルータやIoTは常に最新の状態に更新する
- 不用意にプライベートデバイスを会社のネットワークに繋げない
「うちの会社は(私の自宅は)狙われないだろう」は格好のターゲットです。Nデイ脆弱性を払拭することに最善を尽くして損はありません。それでも尚、ゼロデイ攻撃の脅威は常に付きまといますので、ゼロデイ攻撃への対策についても是非ゼロデイ攻撃とは?そのリスクと企業がとるべき対策を解説!から調べてみてください。
