サイバー攻撃において、予測ができず、対策を取ることが難しいと言われている「ゼロデイ攻撃」。企業をゼロデイ攻撃から守るために、その特徴や対策等を解説いたします。

ゼロデイ攻撃の前に解説すべき「脆弱性」とは

ゼロデイ攻撃の前に、まずはサイバー攻撃者が狙う脆弱性について理解しておく必要があります。

脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥、バグのことを言います。

サイバー攻撃者は、そのセキュリティ上の穴を狙ってウィルスを侵入させるため、脆弱性はセキュリティホールとも呼ばれます。
脆弱性を放置するという事は、攻撃してくださいと言わんばかりにセキュリティホールを開けっ放しにしている状態といって良いでしょう。

OSやアプリケーションなどのソフトウェアに脆弱性が存在していた場合、開発ベンダーは即座にセキュリティパッチ※を開発し、 ユーザーに提供します。
ユーザ側がこれをインストールしてOSやソフトウェアをアップデート(更新)することで脆弱性が解消されます。
このユーザ側の作業を「パッチを当てる」といいます。
昔、転んでズボンの膝に穴が開いたら膝パッチをお母さんが縫い付けてくれた…って経験は、今時ないでしょうね(私もありません)。
しかし、そのパッチ当てと意味合いは同じです。

※セキュリティパッチ・・・セキュリティホールを埋める修正プログラムのこと

ユーザーはベンダーに提供されたセキュリティパッチを一分一秒でも早く処理する必要があります。しかし複数のアプリケーションが動作している環境下で1つのアプリケーションにパッチを当てると、他のアプリケーションに悪影響が出てしまうことがある為、事前に検証が必要になることもあります。また、企業によっては人的リソースが不足して対応が遅れてしまうケースもあるでしょう。

ゼロデイ脆弱性・ゼロデイ攻撃とは

発見されてから日が浅く、セキュリティパッチ(修正プログラム)が公表されていない、あるいはベンダーやユーザ企業が認識していない段階の脆弱性の事をゼロデイ脆弱性と言います。そしてゼロデイ攻撃とは、ゼロデイ脆弱性を悪用するサイバー攻撃の総称を指します。

ゼロデイ攻撃の「ゼロデイ(zero-day)」とは、修正パッチが提供された日を1日目として、脆弱性は存在しているけれど修正プログラムがまだない状態を「ゼロデイ(0日目)」と表現したことが由来です。
未知の脆弱性に対し、発覚からゼロ日目(=ゼロデイ)に攻撃を仕掛ける様から、ゼロデイ攻撃と呼ばれるようになりました。
ゼロデイ攻撃は、ベンダーやユーザから見た時に、OS・ミドルウェア・アプリケーションなどの脆弱性がまだ発見されてない段階、もしくは脆弱性そのものが発見されてから、修正パッチなどの防御策が開発されるまでの「タイムラグ」を利用した攻撃なのです。

ゼロデイ攻撃、その脅威とは

パッチ管理が適切に出来ていないと自覚している情シス担当の方がいれば、直ぐにでも運用を見直すべきです。
「セキュリティパッチが配布されたら直ぐに対応しているからうちの会社は安全だ」と思った情シス担当の方は、改めて考えてみてください。
未知の脆弱性を最初に発見したのが味方ではなくサイバー攻撃者であった場合、攻撃者は無防備なソフトウェアに対して先手を打って好き勝手に攻撃することができる上に、攻撃をきっかけにベンダーやユーザがその脆弱性の存在に気が付いたとしても修正プログラムが開発、配布、適用されるまでの間も尚攻撃を拡散する事が出来ます。
これがゼロデイ攻撃がサイバー攻撃の中で、もっとも深刻な脅威の一つといわれている所以です。

ゼロデイ攻撃の事例

近年のゼロデイ攻撃被害ですが、2019年にGoogleがChromeのFileReaderのゼロ脆弱性をつかれ攻撃されたと発表していたり、同年に国内では三菱電機が中国拠点にあるウイルス対策管理サーバーの脆弱性をつかれ攻撃され、被害はその他複数の拠点にまで及んでいたと発表しています。
2020年にはMicrosoftがInternet Explorerの脆弱性をつかれた攻撃被害を発表しており、2021年にも同社がオンプレミス版のメールサーバであるExchange Serverのゼロデイ脆弱性を限定的な標的型攻撃に悪用されたと発表しています。

企業だけではなくコンシューマーにも広く使われるOSやOSSなどを狙った攻撃では、社会そのものに甚大な損害を与えやすいことも特徴です。
アンダーグラウンド市場で「ゼロデイ攻撃」の手法は高額で取引がされているため、攻撃者たちはゼロデイ脆弱性の発見と攻撃手法を今も必死で探しています。

ゼロデイ攻撃への対応策は?

既に世に出ている防御策は、全て既知のウィルスに対して後から開発されたものですので、ゼロデイ攻撃には無効です。
しかし、ゼロデイ攻撃に有効であると言われる防御策もいくつかありますので紹介したいと思います。

1つ目は、サンドボックス機能です。
不審なファイルを安全に実行して検証するためにコンピュータ内に設けられた仮想環境を指します。
サンドボックスの機能を搭載したセキュリティソフトやUTMを導入すると、不審なファイルを隔離した環境下で実行させることが出来、不正プログラムを本番環境へ持ち込まずに検出する事が出来ます。
しかし「今サンドボックス内にいるかどうか」を識別し、サンドボックスの中では挙動を止めるマルウェアも出てきているので100%とは言えません。

2つ目は、振る舞い検知機能です。
人が他人を殴ろうとした時に一度腕を後ろに引きます。
他人を攻撃しようとしない限り、この動作は行わないと思います。
それと同じ様に、ウィルスも悪さをする前に特有の挙動を示します。
これを逆手にとって、プログラムが実際に動くときの「振る舞い」から、それがウィルスと判断する機能です。
振る舞い検知機能を搭載したセキュリティソフトやUTMを導入し、ウィルスを検知できればプログラム実行前に防御する事ができます。
しかし、ノーモーションでパンチを出せるボクサーがいるように、気づいたと同時に殴られている事もあるので、この対策も100%ではありません。

3つ目は、IDS・IPS(不正侵入検知・防御)機能です。
ゼロデイ脆弱性をついてセキュリティーホールを抜けて侵入してきたウィルスも、侵入後は外にいるC&Cサーバ※から指令を貰う為コールバック通信を行います。
そのコールバック通信を検知してC&Cサーバとの通信を遮断する事で、防御を確立する手法です。
こちらも上記2つのようにかなり有効な手段ですが、これはC&Cサーバの所在が既知であるのが前提条件になりますので、新たなC&Cサーバが出てくればこれもまた然りです。

※C&Cサーバ(C2サーバ)・・・ウイルスを感染させて乗っ取ったコンピュータに対して外部から制御したり命令を出したりする役割を担うサーバコンピュータのこと。

まとめ

サイバーセキュリティにおいては常に脆弱性とのいたちごっこで修正プログラムの開発が常に後手に回るシステム上、予測が立たないゼロデイ攻撃は不可避だという事が現実です。
これさえ導入すれば完璧だというものは存在しません。
しかし本日ご紹介した対策方法はゼロデイ攻撃に大きく有効であり、他にもホワイトリストでの運用やWAF、EDR製品の導入も効果的です。

優秀な攻撃者であっても複数の防御が重なっていればかいくぐるのは至難の業です。
様々なセキュリティソフトを組み合わせた対策を行いましょう。
単体のセキュリティツールに頼らず多層防御をする事で、ゼロデイ攻撃によって侵入したマルウェアが、機密情報に到達する確率を下げることが出来ます。
また、感染させないという概念と別に、感染を広めないという考え方で対策を打つ事も重要です。
いざ脅威が社内に入ってきたときに、即座に対応できる仕組みづくりも同時に検討しておきましょう。

この記事に関連するお役立ち資料はこちら

Google Workspace 、 Microsoft 365 の導入者も必見! コロナによりクラウド利用が急増 これからのネットワーク構成に欠かせない「ゼロトラストネットワーク」

テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス