「ゼロデイ攻撃とはどのような攻撃なの?」
「ゼロデイ攻撃を防ぐには何をしたらよい?」
ゼロデイ攻撃とは、まだ対策が提供されていない脆弱性を悪用して攻撃を仕掛けるサイバー攻撃です。脆弱性の修正プログラムが提供されるまでは無防備な状態が続くため、被害にあう組織が後を絶ちません。ゼロデイ攻撃は今後も増加することが予想され、セキュリティ対策の強化が欠かせなくなっています。
本記事では、以下の内容を詳しく解説します。
- ゼロデイ攻撃の概要
- ゼロデイ攻撃の被害事例と手口
- 被害にあった際の対処法
- セキュリティ強化のための対策
本記事を読むことでゼロデイ攻撃の危険性や、有効な対策方法が分かります。被害にあうリスクを下げたいと考えている組織の方は、ぜひご一読ください。
組織を狙うゼロデイ攻撃の対策にお悩みの方、必見!
ゼロデイ攻撃を防ぐには何をすればいいの?
完全に防ぐことは困難ですが、OSやソフトウェアを常にアップデートする体制を整えるなど、基本的なセキュリティ対策の実施が不可欠です。脅威を総合的に捉え、必要なセキュリティ対策を検討するための資料をご用意しておりますので、ぜひこちらもご覧ください。
ゼロデイ攻撃とは
ゼロデイ攻撃とは、製品やサービスに潜む脆弱性の発見から解消までの間に行われるサイバー攻撃です。ベンダーから修正プログラムが提供される日を1日目とし、その前(0日目)に行われる攻撃であるためゼロデイ攻撃と呼ばれます。
修正プログラムを適用するまでは無防備な状態が続くため、防御が難しい攻撃です。
なおゼロデイ攻撃には、大きく分けて「ばらまき型攻撃」と「標的型攻撃」の2種類があります。以下ではそれぞれの特徴を紹介します。
1. ばらまき型攻撃
ばらまき型攻撃は、標的を定めることなく不特定多数に攻撃を仕掛ける方法です。攻撃者はOSやソフトウェアに潜む脆弱性を利用して攻撃します。
特に多い攻撃パターンは、マルウェアを添付した電子メールを送信する方法です。またメールにURLを記載し、フィッシングサイトに誘導するケースもあります。
マルウェアなどに感染してしまうと厄介ですが、セキュリティソフト(ウイルス対策ソフト)を導入していれば異常に気付けるケースも少なくありません。ばらまき型攻撃はセキュリティ対策をしっかり行っていれば、比較的防ぎやすい攻撃です。
2. 標的型攻撃
標的型攻撃は、標的を定めてから攻撃を仕掛ける方法です。ばらまき型攻撃と同様に、マルウェアを添付した電子メールを送信することで攻撃を仕掛けます。
標的型攻撃は手口が巧妙で、偽のメールだと見破るのが難しい場合があります。新種のマルウェアを使うなど、セキュリティソフト(ウイルス対策ソフト)でも防げないケースもあるため注意が必要です。
ゼロデイ攻撃の特徴
ゼロデイ攻撃は、まだ報告されていない、あるいは解消法が提供されていない脆弱性を利用して行われるため、攻撃が確実に成功してしまう点が脅威となります。
また、修正プログラムが提供されていたとしても、ユーザーが適用しなければ危険な状態が続くため注意が必要です。
この、ベンダーが修正プログラムを提供してからユーザーが適用するまでの期間を狙った攻撃を、Nデイ攻撃と呼びます。Nデイ攻撃は公開された脆弱性の情報と修正プログラムの解析を元に攻撃を行うため、攻撃者にとって比較的容易に仕掛けることができます。
ゼロデイ攻撃で狙われやすいプログラム
ゼロデイ攻撃では、OS・Webブラウザ・サーバーソフトウェアが狙われやすい傾向にあります。特にオープンソースや利用ユーザーが多いプログラムは、攻撃者のターゲットになることがよくあります。
| プログラム | 攻撃を受けた場合の影響 |
|---|---|
| OS | 対象OSが搭載された端末や接続機器が乗っ取られるリスクがあります。乗っ取りが成功すると、保存されたデータが抜き取られてしまったり、他の端末へのマルウェアの拡散など、攻撃を広げる手段として利用されてしまいます。 |
| Webブラウザ | 不正プログラムの実行やインストールなどが行われるリスクがあります。また、標的型攻撃メールとの組み合わせによってマルウェアに感染させ、端末の乗っ取りなどを行う攻撃もあります。 |
| サーバーソフトウェア | バックドアを仕掛けられることで、データの窃取や通信内容の盗聴などが行われるリスクがあります。サーバーは攻撃者にとって悪用できるデータの宝庫なため、被害が拡大する恐れがあります。 |
被害を防ぐには各プログラムを常に最新状態に保ったり、ネットワークを監視するなど、基本的なセキュリティ対策を徹底することが大切です。また脅威にいち早く気づくために、日頃からサイバー攻撃や脆弱性に関する情報を収集しておきましょう。
最近の動向
IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威2024」によると、組織を狙った脅威の中でゼロデイ攻撃は第5位となっています。2023年の調査から1つ順位を上げていることや、3年連続で10大脅威にランクインしていることからも、今後もゼロデイ攻撃は注意すべき脅威として認識しておく必要があるでしょう。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
また、未公開の脆弱性がダークウェブ上で積極的に取り引きされていることも、攻撃が後を絶たない要因の一つと言えます。
なお、「情報セキュリティ10大脅威」にランクインした複数の脅威に対して、同時かつ効率的に行える「共通対策」を一つの資料にまとめています。いま必要な情報セキュリティ対策の基本が分かる資料ですので、ぜひダウンロードしてください。
ゼロデイ攻撃による主な被害事例と手口
ゼロデイ攻撃による代表的な被害事例は、次の3つです。
- 不正アクセス
- マルウェア感染
- Webサイトの改ざん
本章では被害にあうとどのような影響があるのか、どのような手口で攻撃を受けるのかを詳しく解説します。
不正アクセス
ゼロデイ攻撃の被害には、組織内のシステムやVPN機器への不正アクセスがあります。不正アクセスされると機密情報や認証情報を盗まれたり、マルウェアをばらまかれたりすることがあります。またシステムの乗っ取りなどのさまざまな被害につながるため、注意が必要です。
不正アクセスの代表的な手口には、以下の2つがあります。
- ブルートフォース攻撃
IDを固定して該当しそうなパスワードを組み合わせ、総当たりで不正ログインを試みる攻撃 - リバースブルートフォース攻撃
パスワードを固定して該当しそうなIDを組み合わせ、総当たりで不正ログインを試みる攻撃
マルウェア感染
ゼロデイ攻撃の被害で比較的多いのが、メールを利用したマルウェア感染です。メールにマルウェア入りのファイルを添付したり、URLから悪質なサイトへ誘導してマルウェアが含まれるファイルをダウンロードさせたりして感染させます。
特に近年は、身代金の要求を目的としたランサムウェアに感染するケースが増えています。ランサムウェアに感染すると、データの暗号化や端末のロックなど、業務の進行に支障が出るため注意が必要です。
ばらまき型攻撃では不審なメールだと気付けることもありますが、標的型攻撃では取引先などを装ったメールが送られるため、気付かずファイルを開いてしまうケースも少なくありません。これまでやり取りしたことがある相手からのメールでも、不用意に開かないように注意しましょう。
Webサイトの改ざん
ゼロデイ攻撃でWebサイトやサーバーOSの脆弱性を悪用され、Webサイトを改ざんされることがあります。例えばマルウェアをダウンロードさせるリンクを設置されると、Webサイトに訪れたユーザーが不利益を被ることになってしまいます。ユーザーからの信頼も下がるため、Webサイトの脆弱性を放置しないことが大切です。
Webサイトの改ざんにつながる脆弱性と被害例には、以下のようなものがあります。
- クロスサイトスクリプティング
スクリプトを仕込んだページやリンクなどをユーザーに踏ませることで、Webサイトからユーザーの情報を抜き取る - SQLインジェクション
データベースを操作する命令文(SQL文)を実行し、情報漏えいや不正アクセスを引き起こす
ゼロデイ攻撃を受けたときにやるべき対処法
ゼロデイ攻撃を受けてしまったら、被害を拡大させないために以下を行いましょう。
- ネットワークを切断し被害の拡大を防ぐ
- セキュリティ担当に連絡を入れる
- マルウェアを駆除する
攻撃に気づいたタイミングでの即時対応が必要なため、ここでは、攻撃を受けた機器の利用者(従業員)目線で必要な対策をご紹介します。セキュリティ担当の方は、有事の際に従業員に以下対策を行ってもらえるよう、周知することが大切です。
本章では、具体的にどのような対応を取ればよいのか解説します。
1. ネットワークを切断し被害の拡大を防ぐ
ゼロデイ攻撃を受けたら、すぐに該当する機器をネットワークから切断し、被害の拡大を防ぎましょう。Webサイトであれば、一時的に閉鎖することも検討しましょう。
ネットワークを切断することで攻撃者がアクセスできなくなり、最小限の被害に抑えられます。またマルウェア感染の場合は、他の端末への横感染を防ぐこともできます。
2. セキュリティ担当に連絡を入れる
ネットワークを切断して被害の拡大を防いだら、被害状況や対応についてセキュリティ担当に連絡を入れましょう。組織で取るべき対策を早急に検討するためにも、できる限り早く連絡するのがポイントです。
セキュリティ担当に伝える内容の例は、以下になります。
- 被害が発生した組織名や部署名
- 被害の内容
・感染した端末の台数や侵害の範囲
・漏えいした可能性がある情報の種類や件数、内容
・ネットワークを切断したことによって停止した組織内のサービスなど - 対処内容
・組織がどのような対応を行ったのかという時系列での説明
・攻撃者がどのように侵害したのかという時系列での説明
以下の内容もわかる場合は、できる限り伝えましょう。
- 攻撃対象となった端末において事前に取られていたセキュリティ対策や設定に関する情報
- 現場で見つかったマルウェアに関する情報
- 悪用された脆弱性の有無やその詳細について
- 不正アクセスの通信元やマルウェアの通信先など
- 攻撃グループ名や攻撃者の情報
- 上記以外の攻撃者が用いた攻撃手法に関する情報
3. マルウェアを駆除する
マルウェア感染の被害にあった場合は、速やかにマルウェアを駆除する必要があります。基本的には、セキュリティソフト(ウイルス対策ソフト)でマルウェアを検知・駆除することができます。
導入しているセキュリティソフトが更新されているか日頃から意識し、いつもと異なる状況(メッセージが表示されるなど)が発生した場合には、速やかにセキュリティ担当に連絡しましょう。
ゼロデイ攻撃を防ぐ6つの対策
ゼロデイ攻撃に有効な対策は、以下の6つです。
- OSやソフトウェアを最新状態に保つ
- 重要なデータを暗号化する
- セキュリティソフト(ウイルス対策ソフト)を導入する
- サンドボックスを導入する
- 脆弱性診断を実施する
- EDRを導入する
1~5はゼロデイ攻撃を防ぐための予防策、6は実際に攻撃を受けてしまった場合に有効な対策となります。いずれもゼロデイ攻撃の被害にあうリスクを下げるため、拡大させないために重要な対策なので、実施していないものがあれば導入を検討しましょう。
1. OSやソフトウェアを最新状態に保つ
ゼロデイ攻撃はまだ解決策が提供されていない間に行われる攻撃を指しますが、その対策として多くのベンダーが修正プログラム提供の迅速化を図っています。提供され次第、速やかに適用することが、Nデイ攻撃への対策としてもっとも手軽にできる基本の取り組みです。
無防備な期間を極力減らすことは多くの攻撃から身を守る有効な手段となるため、各機器のOS・ソフトウェアを最新状態に保つ仕組みを整えましょう。
2. 重要なデータを暗号化する
ゼロデイ攻撃を受けた場合に備え、重要なデータを暗号化しておくことがおすすめです。暗号化しておけば、たとえ攻撃を受けたとしてもデータの中身を閲覧されるリスクが下がります。また、機密性の高いデータの場合は、攻撃者がアクセスできない隔離された場所に保存しておくのが有効です。
3. セキュリティソフト(ウイルス対策ソフト)を導入する
ゼロデイ攻撃の被害で多いマルウェア感染を防ぐには、セキュリティソフトの導入が有効です。導入しておけば、メールなどを介して侵入してきたマルウェアを検知し、感染前に対策を講じることができます。ゼロデイ攻撃に関わらず、マルウェア対策としてセキュリティソフトの導入は必須と言えるでしょう。
4. サンドボックスを導入する
サンドボックスとは、プログラムを安全に実行させるために、ユーザーが利用する領域から隔離した仮想空間のことです。データのやり取りが厳格に管理されているため、サンドボックス内で起きた事象は、空間外に影響を及ぼしません。
そのため、不審なメールの開封をサンドボックス内で行うことで、マルウェアが仕込まれていたとしても被害を防ぐことができます。また、そのような特徴から、実際にプログラムを動作させて評価することができるため、未知のマルウェアの検知も期待できます。
5. 脆弱性診断を実施する
ゼロデイ攻撃を100%防ぐことは困難ですが、それでも被害リスクを下げるには、脆弱性診断の実施が有効です。定期的に診断を実施することで、OS・Webブラウザ・サーバーソフトウェアなどの狙われやすいプログラムの脆弱性を早期発見できます。
また、脆弱性診断ツールを活用すれば、自動で製品やサービスに潜む脆弱性を発見できるため、手間やコストをあまりかけずにセキュリティ対策ができます。セキュリティ人材の確保・育成が難しい場合は、脆弱性診断ツールの導入を検討するとよいでしょう。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まですべて解説
脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント
6. EDRを導入する
EDR(Endpoint Detection and Response)とは、端末やサーバーなどの機器を常時監視することで、不審な動きを検知・隔離する仕組みです。攻撃を受けてしまうことを前提として、被害を最小限に抑える目的を持っています。
EDRは、未知のマルウェアの検知・隔離が期待できるため、ゼロデイ攻撃に有効です。
まとめ|セキュリティ対策を強化してゼロデイ攻撃に備えよう
ゼロデイ攻撃は未知の脆弱性を悪用して攻撃を仕掛けるため、被害にあう組織が少なくありません。セキュリティ対策を実施しても攻撃を100%防ぐことは困難ですが、多くの攻撃を防ぐ有効な手立てはあります。
ゼロデイ攻撃に有効な対策には、以下の6つがあります。
- OSやソフトウェアを最新状態に保つ
- 重要なデータを暗号化する
- セキュリティソフト(ウイルス対策ソフト)を導入する
- サンドボックスを導入する
- 脆弱性診断を実施する
- EDRを導入する
OS・ソフトウェアのアップデートやセキュリティソフトの導入など、基本的なセキュリティ対策は必須です。それに加え、サンドボックス・脆弱性診断・EDRを導入すれば、ゼロデイ攻撃の被害にあうリスクを大幅に低減することができます。
ゼロデイ攻撃の被害にあわない・拡大させないために、対策を実施してセキュリティを強化しましょう。
