こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
不正アクセスやなりすまし等、近年のサイバー攻撃は多様化・複雑化しています。ゼロデイ攻撃もそのひとつです。
ソフトウェア等の脆弱性を狙ったこの攻撃は、実際に多くの被害を生んでおり、深刻な脅威として問題視されています。
では、このゼロデイ攻撃にはどのように備えれば良いのでしょうか。
今回は、ゼロデイ攻撃の概要と被害事例、対策について詳しく解説します。
ゼロデイ攻撃とは?
既存のソフトウェアやOSには、プログラムの不具合や設計ミスといった脆弱性が見つかることがあります。この脆弱性はセキュリティ上の欠陥にもなり得るため、セキュリティホールとも呼ばれます。
ゼロデイ攻撃は、ソフトウェアやOSの未知の脆弱性およびセキュリティホールを狙って行われる攻撃です。この攻撃では、攻撃者はまだ修正プログラムの提供やインストールが行われていないような未知の脆弱性を突いてセキュリティを突破し、相手先にマルウェア感染やシステムへの不正侵入等といった被害を与えます。
脆弱性が見つかって日を空けず、すぐに攻撃を行うことから、「ゼロデイ(0日)攻撃」と呼ばれています。
ゼロデイ攻撃は、脆弱性に関する情報が公開されたり、修正プログラムの提供が開始されたりしてすぐに急激に増える傾向があります。
このような攻撃は、未知の脆弱性を突いたものであるため、未然に防ぐことが難しく、検知もしにくいことから、今後の被害拡大が懸念されています。
ゼロデイ攻撃の仕組み・特徴
簡単に言うと「脆弱性の発見→対策が行われる前に攻撃」というのが、ゼロデイ攻撃の仕組みです。
攻撃者はまず、未知の脆弱性・セキュリティホールを発見するか、プログラムの脆弱性に関する公開情報を手に入れます。プログラムの脆弱性について知った攻撃者は、その情報を悪用し、その脆弱性を突いた攻撃を直ちに始めます。
脆弱性に対して、ベンダーから修正プログラムやセキュリティパッチが提供され、それをユーザーがインストールするには、一定の時間がかかります。攻撃者はそれまでに、対策が行われていない脆弱性を狙って攻撃を行うのです。
ゼロデイ攻撃は2種類に分類される
ゼロデイ攻撃は、次の2種類に分類することができます。
・標的型攻撃・・・特定のターゲットを狙った攻撃
ゼロデイ攻撃で多く見られるのは、ばらまき型の攻撃です。不特定多数のユーザーをターゲットにするこの攻撃は、主にWebサイトを狙って仕掛けられることが多く、Webサイトを訪れる多数のユーザーにマルウェア感染等の被害を及ぼします。
また近年では、特定の人をターゲットした標的型の攻撃も増えています。これは特定のユーザーや企業をターゲットに、メール等を通じて不正なプログラムに感染させるような手口によるもので、実際に多くの被害が出ています。
ゼロデイ攻撃の被害例・攻撃事例
ここからは、実際に起こったゼロデイ攻撃の被害事例を見ていきましょう。
VPN機器への不正アクセス
ここ数年でテレワークが普及したことにより、VPN機器の利用数も増加傾向にあります。
自宅端末からオフィス端末へのアクセスを可能にするVPN機器は攻撃のターゲットにされやすく、VPN機器を狙ったゼロデイ攻撃の被害は複数確認されています。
例えば、2021年9月には、米フォーティネット社製のVPNが機器の欠陥を付いたゼロデイ攻撃を受けました。結果として約8万7千台分の認証情報が流出し、その中には中小企業を中心とした日本企業数千社も含まれていたと見られています。
欠陥自体は2019年に解決済みであったものの、古い機器を、対策を取らずにそのまま使っている企業が狙われたようです。
(参考:日本経済新聞『VPN認証情報また流出 日本は1000社、中小企業中心』)
社内システムへの不正アクセス
三菱電機では、2020年1月に攻撃者による不正アクセスが発生し、重要情報流出の被害を受けました。
その手口は、使用していたウイルス対策システムの未公開の脆弱性を狙ったゼロデイ攻撃によるもの。この攻撃により海外拠点内のネットワーク上にあるサーバーから端末に侵入されて被害が広がり、国内サーバー及び端末への侵入も許す形となりました。
対象の情報は採用応募者や従業員、退職者に関する個人情報と防衛省指定の注意情報等で、約8,000人の情報が流出したと見られています。
(参考:三菱電機株式会社『不正アクセスによる個人情報と企業機密の流出可能性について 第一報・第三報』)
改ざんされたWebサイト経由のマルウェア感染
2013年、共同通信や地方新聞社が運営する有料ニュースサイト「47行政ジャーナル」が不正アクセスの被害を受けました。Webサイトは改ざんされて不正なコードが埋め込まれ、その結果、サイトにアクセスすることによるマルウェア感染のリスクが生じました。
この例はゼロデイ攻撃によるものであったのかどうかは不明です。しかし、上記のようにプログラムの脆弱性を突いてWebサイトにマルウェア感染の仕掛けを行うゼロデイ攻撃は、多く確認されています。
フィッシングサイトと異なり、本物のサイトを改ざんするこの手法は、水飲み場型攻撃とも呼ばれます。
(参考:TECH+『共同通信ら運営の「47行政ジャーナル」改ざん被害 – マルウェア感染の恐れ』)
ゼロデイ攻撃への5つの対策方法
ゼロデイ攻撃によるウイルス感染や不正アクセス、不正改ざん等の被害は後を絶ちません。では、この被害を防ぐにはどのような対策を取れば良いのでしょうか。
ここでは、ゼロデイ攻撃に有効な対策方法を5つご紹介します。
①サポート切れの製品は使わない
ゼロデイ攻撃の対策としてまず重要なのは、サポート切れの製品を使用しないことです。
サポート切れの製品には修正プログラムは提供されません。そのため、その製品に脆弱性が見つかれば、攻撃を防ぐことは困難です。
また、OSやソフトウェアのアップデートも速やかに行い、常に最新の状態にしておくようにしましょう。
②EDRの導入
EDRとは、エンドポイントセキュリティの一種。ネットワークのエンドポイントにあたるデバイスを監視し、マルウェア等の検知・対処を行います。
ゼロデイ攻撃は未知の脆弱性を突くため、既存のウイルスを検知するウイルスソフトでは対応しきれません。そこで、EDRによってマルウェア感染の起点となるエンドポイントを監視することで、感染にいち早く対処する必要があるのです。
EDRの導入は、ゼロデイ攻撃によるマルウェアをいち早く検知し、被害の拡大を防止するのに効果的です。
③サンドボックスの導入
サンドボックスとは、コンピューター内の仮想空間のこと。
近年のマルウェアは、実行しなければマルウェアかどうかわからないというケースも多いです。そこで利用するのがサンドボックス。
サンドボックスは独立した仮想空間なので、もし実行したプログラムがマルウェアだったとしても、パソコンの実環境がその影響を受けることはありません。
サンドボックスを利用すれば、外部から送られてきたファイルやプログラムがマルウェアかどうか安全に確認することができます。
④Webサービスを運用している場合はWAFの導入
WAFとは、Webサイト向けのファイアウォールのこと。サーバーの前に設置し、通信を解析することで攻撃を遮断することができる、ゼロデイ攻撃に効果的なセキュリティ対策です。
攻撃を受けて改ざんされたWebサイトは、そこを訪れる不特定多数のユーザーに被害を拡大させてしまう恐れがあります。被害の拡大を抑えるためにも、Webサービスを運用している場合にはWAFを実装しておいた方が良いでしょう。
⑤シグネチャで対策する方法
既存のマルウェアに備えるなら、シグネチャでの対策も有効です。
シグネチャとは、過去に見つかっているウイルスのデータパターンのこと。パソコン上のファイルやプログラムとこのシグネチャをパターンマッチングさせることで、既存のウイルスを検知することができます。
とはいえ、この方法は既存ウイルスには効果的であるものの、未知の脆弱性を突くゼロデイ攻撃に対する効果はあまり期待できません。基本のウイルス対策のひとつとして、検討すると良いでしょう。
ゼロデイ攻撃を受けてしまったときの対処法
ゼロデイ攻撃を受けてしまい、デバイスに異変が見られた時には、初期化を実行することが多いです。ただし、初期化すればログも消えてしまうため、その後の調査は難しくなってしまいます。初期化の判断は慎重に行うようにしてください。
まずは該当のデバイスをネットワークから切り離す・サービスを停止する等の基本的な対応を行い、その後の対処にはセキュリティベンダーの手を借りることをおすすめします。
また、コンピューターウイルスや不正アクセスの被害に遭った場合には、IPA(情報処理推進機構)への届出に協力するようにしてください。
まとめ
ゼロデイ攻撃は、多くの企業やユーザーに被害を及ぼすものです。気づかないうちにシステムに侵入された結果、機密情報が流出したり他のユーザーにマルウェアを拡散させてしまっていたりという例も少なくはありません。
現在の技術では、ゼロデイ攻撃を完全に防ぐことは困難です。しかし、今回ご紹介したような対策を整備しておけば、万が一の場合もその被害を最小限に留めることができるでしょう。
まずは使っているシステムの中にサポート切れの製品やアップデート漏れの製品がないか確認し、その上でWAFやサンドボックス等の導入をご検討ください。